Konfiguracija spletnega preverjanja pristnosti internetnih informacijskih storitev v sistemu Windows 2000


Toplo priporočamo, da vsi uporabniki nadgradijo različico 7,0 za Microsoft Internet Information Services (IIS), ki se izvaja v sistemu Microsoft Windows Server 2008. IIS 7,0 bistveno poveča varnost spletne infrastrukture. Če želite več informacij o temah, povezanih z varnostjo storitve IIS, obiščite to Microsoftovo spletno mesto:Če želite več informacij o storitvi IIS 7.0, obiščite to Microsoftovo spletno mesto:
Ta članek velja za Windows 2000. Podpora za Windows 2000 se konča julija 13, 2010. Središče rešitev za konec podpore za windows 2000 je izhodišče za načrtovanje strategije selitve iz sistema Windows 2000. Če želite več informacij, glejte pravilnik o življenjskem ciklu Microsoftove podpore.

Povzetek


V tem članku po korakih je opisano, kako konfigurirate preverjanje pristnosti za spletne zahteve v storitvah IIS (Microsoft Internet Information Services) 5,0.

Kako deluje spletno preverjanje pristnosti

Spletno preverjanje pristnosti je komunikacija med spletnim brskalnikom in spletnim strežnikom, ki vključuje majhno število glav in sporočil o napakah v obliki vezaja. Potek komunikacije je:
  1. Spletni brskalnik zahteva, kot je HTTP-GET.
  2. Spletni strežnik izvaja preverjanje pristnosti. Če to ni uspešno, ker je preverjanje pristnosti zahtevano, strežnik pošlje sporočilo o napaki, ki je podobno temu:
    Nimate dovoljenja za ogled tega pageYou za ogled tega imenika ali strani z uporabo poverilnic, ki ste jih posredovali.
    Informacije so vključene v to sporočilo, ki ga lahko spletni brskalnik uporabi za ponovno pošiljanje zahteve kot overjeno zahtevo.
  3. Spletni brskalnik uporablja odgovor strežnika za ustvarjanje nove zahteve, ki vsebuje informacije o preverjanju pristnosti.
  4. Spletni strežnik izvaja preverjanje pristnosti. Če je preverjanje uspešno, spletni strežnik pošlje podatke, ki so bili sprva zahtevani v spletnem brskalniku.

Načini preverjanja pristnosti

Opomba: z nekaterimi naslednjimi načini preverjanja pristnosti morate uporabiti pogone, ki ste jih formatirali z datotečnim sistemom NTFS, ker pogoni, ki jih formatira NTFS, vzdržujejo najvišjo raven varnosti. IIS podpira pet teh spletnih načinov preverjanja pristnosti:

Anonimno preverjanje pristnosti

IIS Ustvari račun za IUSR_ime_ra čunalnika (pri čemer je ime_ra čunalnika ime računalnika) za preverjanje pristnosti anonimnih uporabnikov, ko zahtevajo spletno vsebino. Ta račun uporabniku omogoča, da se prijavi lokalno. Anonimni uporabniški dostop lahko ponastavite tako, da uporabi kateri koli veljaven račun sistema Windows.Opomba: nastavite lahko različne anonimne račune za različna spletna mesta, virtualne imenike ali fizične imenike in datoteke. Če je računalnik s sistemom Windows 2000 samostojni strežnik, je račun za IUSR_ime_ra čunalnika v lokalnem strežniku. Če je strežnik krmilnik domene, je za domeno določen račun» IUSR_ime_ra čunalnika «.

Osnovno preverjanje pristnosti

Uporabite osnovno preverjanje pristnosti, da omejite dostop do datotek v spletnem strežniku, ki je formatiran z datotečnim sistemom NTFS. Z osnovnim preverjanjem pristnosti mora uporabnik vnesti poverilnice in Access temelji na ID-ju uporabnika. Če želite uporabiti osnovno preverjanje pristnosti, dodelite vsakemu uporabniku možnost, da se prijavite lokalno in da olajšate upravljanje, jih dodajte v skupino, ki ima dostop do potrebnih datotek.Opomba: ker so uporabniške poverilnice kodirane z base64 kodiranjem, vendar niso šifrirane, ko se prenesejo prek omrežja, se osnovno preverjanje pristnosti smatra kot negotova oblika preverjanja pristnosti.

Integrirano preverjanje pristnosti sistema Windows

Integrirano preverjanje pristnosti sistema Windows je varnejše kot osnovno preverjanje pristnosti in deluje dobro v intranetnem okolju, kjer imajo uporabniki račune domene sistema Windows. V integriranem preverjanju pristnosti sistema Windows poskuša brskalnik uporabiti poverilnice trenutnega uporabnika iz prijave domene in če to spodleti, je uporabnik pozvan k vnosu uporabniškega imena in gesla. Če uporabljate integrirano preverjanje pristnosti sistema Windows, se uporabnikovo geslo ne prenese v strežnik. Če se je uporabnik prijavil v lokalni računalnik kot uporabnik domene, uporabniku ni treba znova preverjati pristnosti, ko uporabnik dostopa do omrežnega računalnika v tej domeni.Opomba: integriranega preverjanja pristnosti sistema Windows ne morete uporabiti prek strežnika proxy.

Preverjanje pristnosti

Preverjanje pristnosti pretakanja obravnava številne slabosti osnovnega preverjanja pristnosti. Ko uporabljate preverjanje pristnosti, geslo ni poslano v počistem besedilu. Poleg tega lahko uporabite preverjanje pristnosti v strežniku proxy. Preverjanje pristnosti s sistemom Windows uporablja mehanizem za izziv/odziv (ki vključuje integrirano preverjanje pristnosti v sistemu Windows), v katerem je geslo poslano v šifrirani obliki zapisa. Če želite uporabiti preverjanje pristnosti s Digest:
  • Strežnik, ki temelji na sistemu Windows 2000, mora biti v domeni.
  • V krmilniku domene morate namestiti datoteko IISSuba. dll. Ta datoteka je samodejno kopirana med namestitvijo sistema Windows 2000 Server.
  • Konfigurirati morate vse uporabniške račune z geslom za shranjevanje z omogočenim reverzibilnim računom šifriranja . Omogočanje tega računa zahteva, da je geslo ponastavljeno ali znova vneseno.
Opomba: Če uporabljate preverjanje pristnosti, morate za spletni brskalnik uporabiti Microsoft Internet Explorer 5,0 ali novejšo različico.

Preslikava potrdila odjemalca

Preslikava potrdila odjemalca je način, na katerega je ustvarjena» preslikava «med potrdilom in uporabniškim računom. V tem modelu uporabnik predstavlja potrdilo in sistem si poišče preslikavo, da določi, kateri uporabniški račun bi moral biti prijavljen. Potrdilo lahko preslikate v uporabniški račun sistema Windows na enega od dveh načinov:
  • Z imenikom Active Directory.-or-
  • Z uporabo pravil, ki so določena v storitvah IIS.
Če želite več informacij o preslikavi odjemalčevih potrdil v uporabniške račune, poiščite preslikavo odjemalčevih potrdil v dokumentaciji IIS. Če imate nameščen IIS, si lahko ogledate dokumentacijo za IIS tako, da vnesete naslednji URL v naslovno vrstico spletnega brskalnika, kjer je localhost ime lokalnega gostitelja:
http://localhost/iisHelp/iis/misc/default.asp
Če želite več informacij o uporabi potrdil, kliknite to številko članka iz Microsoftove zbirke znanja:
290625 Konfiguracija protokola SSL v preskusnem okolju s sistemom Windows 2000 IIS 5 s potrdilom Server 2,0
Vsak način preverjanja pristnosti lahko konfigurirate tako, da nadzorujete dostop do teh elementov v strežniku IIS:
  • Vsa spletna vsebina, ki gostuje v strežniku IIS.
  • Posamezna spletna mesta, ki gostujejo v strežniku IIS.
  • Posamezni navidezni imeniki ali fizični imeniki, ki so na spletnem mestu.
  • Posamezne strani ali datoteke, ki so na spletnem mestu.

Konfiguracija preverjanja pristnosti spletnega mesta IIS

  1. Uporabite skrbniški račun, da se prijavite v računalnik s spletnimi strežniki.
  2. Kliknite Start, pokažete na programe, pokažete na Skrbniška orodjain kliknite upravitelj internetnih storitev. Zažene se snap-in internetne informacijske storitve.
  3. V konzolnem drevesu kliknite ime računalnika, kjer je ime računalnika ime računalnika.
  4. Z desno tipko miške kliknite enega od teh elementov in nato kliknite lastnosti:
    • Če želite konfigurirati preverjanje pristnosti za celotno spletno vsebino, ki gostuje v strežniku IIS, z desno tipko miške kliknite ime računalnika.
    • Če želite konfigurirati preverjanje pristnosti za posamezno spletno mesto, z desno tipko miške kliknite želeno spletno mesto.
    • Če želite konfigurirati preverjanje pristnosti za navidezni imenik ali fizični imenik na spletnem mestu, kliknite želeno spletno mesto in nato z desno tipko miške kliknite želeni imenik, kot je na primer _vti_pvt.
    • Če želite konfigurirati preverjanje pristnosti za posamezno stran ali datoteko na spletnem mestu, kliknite želeno spletno mesto, kliknite mapo, v kateri je datoteka ali stran, ki jo želite, in nato z desno tipko miške kliknite želeno datoteko ali stran.
  5. V pogovornem oknu lastnosti imena elementa, kjer je ime elementa ime izbranega elementa, kliknite zavihek varnost imenika .Opomba: če je izbrani element posamezna datoteka, kliknite zavihek varnost datoteke .
  6. V razdelku anonimen dostop in kontrolnik preverjanja pristnostikliknite Uredi.
  7. Kliknite, če želite potrditi potrditveno polje anonimni dostop , če želite vklopiti anonimni dostop. Če želite izklopiti anonimni dostop, kliknite, da počistite to potrditveno polje.Opomba: Če izklopite anonimni dostop, morate konfigurirati neko obliko dostopa s preverjeno pristnostjo.
    1. Če želite spremeniti račun, ki se uporablja za anonimni dostop do tega vira, kliknite Uredi zraven možnosti račun, ki se uporablja za anonimni dostop.
    2. V pogovornem oknu anonimni uporabniški račun kliknite uporabniški račun, ki ga želite uporabiti za anonimni dostop.
    3. Kliknite, če želite počistiti potrditveno polje Dovoli IIS za nadzor gesla , če želite uporabiti sistem Windows LogonUser () API za preverjanje pristnosti uporabnika.Opomba: Če izklopite to možnost za nadzor gesla, to vsili IIS za uporabo običajnega preverjanja pristnosti in za zapisovanje računa na lokalno. To možnost izklopite, če imajo uporabniki težave z dostopom do virov, kot so datoteke ali Microsoft Accessove zbirke podatkov v omrežnem računalniku.
    4. Kliknite V redu.
  8. V razdelku dostop s preverjeno pristnostjokliknite, če želite izbrati osnovno preverjanje pristnosti (geslo je poslano v počistem besedilu) , če želite vklopiti osnovno preverjanje pristnosti. Ko prejmete to sporočilo, kliknite da:
    Možnost preverjanja pristnosti, ki ste jo izbrali, je, da so gesla posredovana prek omrežja brez šifriranja podatkov. Nekdo, ki poskuša ogroziti vašo varnost sistema, lahko z analizatorjem protokolov preveri uporabniška gesla med postopkom preverjanja pristnosti. Če želite več informacij o preverjanju pristnosti uporabnika, si oglejte spletno pomoč. To opozorilo ne velja za povezave https (ali SSL). Ali ste prepričani, da želite nadaljevati?
    1. Če želite izbrati domeno, s katero preverjate pristnost uporabnikov, ki uporabljajo osnovno preverjanje pristnosti, kliknite Uredi ob Možnosti izberite privzeto domeno.
    2. Vnesite domeno, ki jo želite v polje ime domene , nato pa kliknite v redu.Opomba Če ste zaskrbljeni zaradi varnosti v intranetu, ker osnovno preverjanje pristnosti prenaša uporabniško ime in informacije o geslu v jasnem besedilu, lahko uporabite osnovno preverjanje pristnosti skupaj z varnimi Sockets Layer (SSL).
  9. Kliknite, če želite potrditi potrditveno polje preverjanje pristnosti za strežnike domene sistema Windows , če želite uporabiti preverjanje pristnosti s Digest. Ko prejmete to sporočilo, kliknite da:
    Preverjanje pristnosti, ki deluje v sistemu Windows 2000, in zahteva, da računi shranjujejo gesla kot šifrirano jasno besedilo. Ali ste prepričani, da želite nadaljevati?
    Opomba: konfigurirate lahko uporabniške račune z geslom za shranjevanje, ki je vklopljena možnost » reverzibilni šifrirni račun «.
  10. Kliknite, če želite izbrati integrirano potrditveno polje za preverjanje pristnosti sistema Windows , če želite uporabiti integrirano preverjanje pristnosti sistema Windows.Opomba: Ta metoda preverjanja pristnosti je bila prej znana kot Microsoft Windows NT Challenge/Response ali NT LAN Manager (NTLM).
  11. Kliknite v reduin nato v pogovornem oknu lastnosti imena elementa kliknite v redu. Če se odpre pogovorno okno» preglasitev dedovanja «:
    1. Kliknite Izberi vse , če želite uporabiti nove nastavitve preverjanja pristnosti za vse datoteke ali mape, ki so v elementu, ki ste ga spremenili.
    2. Kliknite V redu.
  12. Zaprite internetne informacijske storitve.

Reference


Če želite več informacij, kliknite te številke člankov, da si ogledate članke v Microsoftovi zbirki znanja:
297954 Odpravljanje težav s spletnim strežnikom v sistemu Windows 2000
299970 Kako uporabljati NTFS dovoljenja za zaščito spletne strani, ki se izvaja v storitvah IIS 4,0 ali 5
216705 Kako nastaviti dovoljenja za spletno FrontPage na spletnem mestu IIS
222028 Nastavitev preverjanja pristnosti s Digest za uporabo s storitvami Internet Information Services 5,0