Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: 6324
Последний выпуск: 19.06.2015

IIS - О проверке подлинности

Перед предоставлением доступа к информации на сервере можно потребовать от пользователя ввести действительную учетную запись пользователя Windows и пароль. Этот процесс идентификации часто называют проверкой подлинности. Проверка подлинности, как и большинство возможностей IIS, может быть установлена на уровне веб-узла, каталога или файла. IIS предлагает следующие способы проверки подлинности для управления доступом к содержимому сервера:

Методы для WWW

Методы для FTP

Для получения дополнительной информации об установке проверки подлинности см. раздел Включение и конфигурирование проверки подлинности.



Обзор методов проверки подлинности

Метод Уровень безопасности Требования к серверу Требования к клиенту Примечания
Анонимная Отсутствует Учетная запись IUSR_ИмяКомпьютера Любой обозреватель Используется для общих областей узлов Интернета.
Обычная Низкий Действительные учетные записи Вводит имя пользователя и пароль Пароль передается незашифрованным.
Краткая Высокий Все пароли в виде неформатированного текста. Действительные учетные записи. Совместимость Применима при работе через прокси-серверы и другие брандмауэры.
Встроенная Windows Высокий Действительные учетные записи Поддержка обозревателя Используется в личных областях внутренних сетей.
Сертификаты Высокий Получение сертификатов сервера. Настройка списка доверенных сертификатов (CTL) (только при первом использовании). Поддержка обозревателя Широко используется для обеспечения безопасности транзакций через Интернет.
Анонимная FTP Отсутствует Учетная запись IUSR_ИмяКомпьютера Отсутствует Используется для общих областей узлов FTP.
Основная FTP Низкий Действительные учетные записи Вводит имя пользователя и пароль Пароль передается незашифрованным.


Анонимная проверка подлинности

Анонимная проверка подлинности дает пользователям доступ к общим областям веб- или FTP-узлов без запроса имени пользователя или пароля. Когда пользователь пытается присоединиться к общему веб- или FTP-узлу, веб-сервер назначает пользователю учетную запись IUSR_ИмяКомпьютера, где ИмяКомпьютера — это имя сервера, на котором запущен IIS.

По умолчанию пользователь IUSR_ИмяКомпьютера включается Windows в группу пользователей Guests. Эта группа имеет ограничения по безопасности, налагаемые разрешениями NTFS, которые устанавливают уровень доступа и тип содержимого, доступные обычным пользователям.

Если на сервере размещено несколько узлов или на узле имеется ряд областей, требующих различных прав доступа, можно создать несколько анонимных учетных записей (по одной на каждый веб- или FTP-узел, каталог или файл). Предоставляя этим учетным записям различные права на доступ или назначая эти учетные записи разным группам пользователей, можно предоставить анонимным пользователям доступ к различным областям веб- и FTP-узлов.

IIS использует учетную запись IUSR_ИмяКомпьютера следующим образом:

  1. Учетная запись IUSR_ИмяКомпьютера добавляется в группу пользователей Guests.
  2. Когда запрос получен, IIS исполняет роль пользователя с учетной записью IUSR_ИмяКомпьютера перед выполнением любой программы или доступом к любому файлу. IIS в состоянии исполнить роль пользователя IUSR_ИмяКомпьютера, поскольку и имя пользователя, и пароль известны IIS.
  3. Перед возвратом страницы клиенту IIS проверяет файл NTFS и разрешения для каталога, чтобы проверить возможность доступа к файлу для пользователя с учетной записью IUSR_ИмяКомпьютера.
  4. Если доступ разрешен, проверка подлинности завершается и ресурсы становятся доступными пользователю.
  5. Если доступ не разрешен, IIS попытается использовать другой способ проверки подлинности. Если не один из методов не выбран, IIS возвращает в обозреватель сообщение об ошибке "HTTP 403 Access Denied".

Примечание

  • Если анонимная проверка подлинности включена, IIS всегда будет пытаться сначала использовать ее, даже если другие методы включены.
  • В некоторых случаях обозреватель запрашивает имя пользователя и пароль.

Учетная запись, используемая для анонимной проверки подлинности, может быть изменена в оснастке IIS на уровне служб веб-сервера или для отдельных виртуальных каталогов и файлов. Учетная запись анонимного пользователя должна давать пользователю права локального подключения. Если учетная запись не имеет разрешения «Локальный вход в систему», IIS не сможет обслуживать никакие анонимные запросы. При установке IIS учетная запись IUSR_ИмяКомпьютера получает разрешение «Локальный вход в систему». В контроллерах домена учетная запись IUSR_ИмяКомпьютера по умолчанию не включена в гостевые учетные записи. Она должна быть изменена (предоставлено разрешение «Локальный вход в систему»), чтобы разрешить анонимные подключения.

Примечание   Требования к носителю права локального входа в систему могут быть изменены с помощью Active Directory Service Interfaces (ADSI). Для получения дополнительной информации см. раздел LogonMethod в руководстве по Active Server Pages.

Также можно изменить привилегии для учетной записи IUSR_ИмяКомпьютера в Windows с помощью оснастки-диспетчера групповой политики в MMC. Однако если учетная запись анонимного пользователя не дает права доступа к определенному файлу или ресурсу, веб-сервер не установит анонимное соединение с этим ресурсом. Дополнительные сведения см. в разделе Задание разрешений для веб-сервера.

Важно!   Если изменена учетная запись IUSR_ИмяКомпьютера, изменения коснутся каждого анонимного запроса HTTP, который обслуживается веб-сервером. Будьте внимательны при изменении этой учетной записи.

Обычная проверка подлинности

Обычная проверка подлинности является широко используемым стандартным методом получения сведений об имени пользователя и пароле. Обычная проверка подлинности проходит следующим образом:

  1. В веб-обозревателе пользователя открывается диалоговое окно, в которое пользователь должен ввести ранее назначенные ему имя учетной записи пользователя Windows 2000 и пароль.
  2. После этого веб-обозреватель предпринимает попытку установить подключение с использованием введенных данных. (Перед передачей через сеть пароль зашифровывается по схеме Base64).
  3. Если сервер отвергает эту информацию, веб-обозреватель продолжает отображать диалоговое окно до тех пор, пока пользователь не введет действительное имя пользователя и пароль или не закроет диалоговое окно.
  4. Веб-сервер проверяет, что имя пользователя и пароль соответствуют действительной учетной записи Windows, и устанавливает соединение.

Для получения дополнительной информации об установке обычной проверки подлинности см. раздел Включение и конфигурирование проверки подлинности.

Преимуществом обычной проверки подлинности является то, что она является частью спецификации HTTP и поддерживается большинством обозревателей. К недостаткам относится то, что веб-обозреватели при использовании этого метода передают пароли в незашифрованном виде. Наблюдая за передачей информации в сети, можно легко перехватить и расшифровать эти пароли с помощью общедоступных средств. Следовательно, обычный способ проверки подлинности не рекомендуется использовать, за исключением тех случаев, когда есть полная уверенность в безопасности соединения пользователя и веб-сервера (например, прямое кабельное соединение или выделенная линия). Дополнительные сведения см. в разделе Шифрование.

Примечание   Встроенная проверка подлинности имеет приоритет перед обычной проверкой подлинности. Обозреватель выберет встроенную проверку подлинности Windows и будет пытаться использовать текущую учетную информацию Windows перед тем, как запросить имя пользователя и пароль. В настоящий момент только Internet Explorer версии 2.0 и более поздней поддерживает встроенную проверку подлинности.

Краткая проверка подлинности

Новая возможность IIS 5.0. Краткая проверка подлинности предлагает те же возможности, что и обычная, но включает различные способы передачи информации, удостоверяющей пользователя. Сведения, подтверждающие подлинность пользователя, передаются путем однонаправленного процесса, часто называемого хэшированием. Результат этого процесса называется хэшем или выборкой сообщения. Расшифровать его практически невозможно. Иными словами, по хэшу нельзя восстановить исходный текст.

Краткая проверка подлинности проходит следующим образом:

  1. Сервер посылает обозревателю некоторую информацию, которая будет использована при проверке подлинности.
  2. Обозреватель добавляет эту информацию к имени пользователя, паролю и некоторой другой информации и выполняет хэширование. Дополнительная информация помогает предотвратить повторное использование значения хэша посторонними лицами.
  3. Хэш передается на сервер через сеть вместе с дополнительной информацией, передаваемой открытым текстом.
  4. Сервер добавляет дополнительную информацию к паролю клиента, полученному в виде неформатированного текста, и хэширует всю информацию.
  5. Сервер сравнивает переданное значение хэша с вычисленным им.
  6. Доступ предоставляется только при полном совпадении чисел.

Дополнительная информация добавляется к паролю перед хэшированием, поэтому никто не может перехватить хэшированный пароль и использовать его, чтобы выдать себя за настоящего клиента. Добавляемые значения помогают идентифицировать клиента, его компьютер и область, или домен, к которой принадлежит клиент. Отметка времени добавляется для предотвращения использования клиентом пароля после его аннулирования.

Это является явным преимуществом перед обычной проверкой подлинности, при которой пароль может быть перехвачен и использован пользователем, не имеющим соответствующих полномочий. Структура краткой проверки подлинности позволяет использовать ее через прокси-серверы и другие брандмауэры. Этот способ проверки подлинности доступен для WebDAV (Web Distributed Authoring and Versioning). Поскольку краткая проверка подлинности является новой возможностью HTTP 1.1, не все обозреватели поддерживают ее. Если несовместимый обозреватель выполняет запрос к серверу, требующему краткой проверки подлинности, сервер отвергает запрос и посылает клиенту сообщение об ошибке. Краткая проверка подлинности поддерживается только доменами с контроллерами домена, управляемыми операционной системой Windows 2000.

Важно!   Краткая проверка подлинности будет завершена, если только сервер домена, к которому был сделан запрос, имеет пароль пользователя в виде неформатированного текста. Поскольку контроллер домена имеет копии паролей в виде неформатированного текста, он должен быть защищен от физической и сетевой атак. Для получения более подробной информации о защите контроллера домена см. пакет Microsoft Windows 2000 Server Resource Kit.

Примечание   Значение хэша состоит из небольшого количества двоичных данных, обычно не более 160 бит. Это значение получается с помощью алгоритма хэширования. Все значения хэша имеют следующие свойства, независимо от используемого алгоритма:

  • Длина хэша Длина значения хэша определяется типом используемого алгоритма и не меняется при изменении размера сообщения. Длина сообщения может составлять и несколько килобайт, и несколько гигабайт; это не скажется на длине значения хэша. Наиболее часто используется хэш длиной 128 или 160 бит.
  • Нераскрываемость Каждая пара неидентичных сообщений будет преобразована в два совершенно различных значения хэша, даже если эти два сообщения отличаются только одним битом. Используя современные технологии, невозможно обнаружить пару сообщений, которые преобразуются в одно и то же значений хэша.
  • Повторяемость При каждом хэшировании одного и того же сообщения с помощью одного алгоритма получается одно и то же значение хэша.
  • Необратимость Все алгоритмы хэширования являются однонаправленными. По заданному значению хэша, даже при известном алгоритме, невозможно восстановить исходное сообщение. Фактически, ни одно из свойств исходного сообщения не может быть определено только по значению хэша.

Встроенная проверка подлинности

Встроенная проверка подлинности (раньше называвшаяся NTLM или проверка подлинности «запрос/ответ») является безопасной формой проверки подлинности, поскольку имя пользователя и пароль не передаются по сети. При включенной встроенной проверке подлинности обозреватель на компьютере пользователя доказывает знание пароля через криптографический обмен с веб-сервером, используя хэширование.

Встроенная проверка подлинности может использовать протокол проверки подлинности Kerberos v5 или собственный протокол проверки подлинности «запрос/ответ». Если Служба Каталогов установлена на сервере, а обозреватель совместим с протоколом проверки подлинности Kerberos v5, используются и протокол Kerberos v5, и протокол «запрос/ответ». В противном случае используется протокол «запрос/ответ».

Протокол проверки подлинности Kerberos v5 является возможностью архитектуры Windows 2000 Distributed Services. Чтобы проверка подлинности по протоколу Kerberos v5 была успешной, компьютеры и клиента, и сервера должны иметь надежное соединение с Key Distribution Center (KDC) и быть совместимыми со Службой Каталогов. Для получения информации о протоколе см. документацию по Windows.

Встроенная проверка подлинности проходит следующим образом:

  1. В отличие от обычной проверки подлинности, пользователю не предлагают ввести имя пользователя и пароль. Текущая информация о пользователе Windows на компьютере клиента используется для встроенной проверки подлинности.
  2. Примечание   Internet Explorer версии 4.0 или поздней может быть сконфигурирован, чтобы запрашивать в случае необходимости информацию о пользователе. Дополнительные сведения см. в документации по Internet Explorer.

  3. Однако если при начальном обмене идентифицировать пользователя не удается, Internet Explorer приглашает пользователя ввести имя пользователя и пароль учетной записи Windows, которые обрабатываются с помощью встроенной проверки подлинности.
  4. Internet Explorer будет повторять приглашение, пока не будет введена правильная комбинация имени пользователя и пароля, или диалоговое окно не будет закрыто.

Хотя встроенная проверка подлинности безопасна, она имеет два ограничения.

  1. Только Microsoft Internet Explorer версии 2.0 или поздней поддерживает этот способ проверки подлинности.
  2. Встроенная проверка подлинности Windows не работает через прокси-соединения HTTP.

Следовательно, встроенная проверка подлинности Windows лучше всего подходит для внутренних сетей предприятия, в которых компьютеры пользователя и веб-сервера находятся в одном домене и администратор может проверить использование на каждом компьютере Microsoft Internet Explorer версии 2.0 или более поздней.

Проверка подлинности по сертификату

Для двух типов проверки подлинности можно также использовать возможности защиты по протоколу SSL (Secure Sockets Layer) для веб-сервера. Можно использовать сертификат сервера для выполнения пользователями проверки подлинности сервера до передачи персональной информации, например номера кредитной карты. Также можно использовать сертификаты клиентов для проверки подлинности пользователей, запрашивающих информацию с веб-узла. SSL проверяет подлинность по содержимому зашифрованного цифрового идентификатора, который отправляется веб-обозревателем пользователя в процессе входа в систему. (Пользователи получают сертификаты клиента от независимой организации, доверенной для обеих сторон.) Сертификаты сервера обычно содержат сведения о компании и об организации, выдавшей сертификат. Сертификаты клиентов обычно содержат подробные сведения о пользователе и об организации, выдавшей сертификат. Дополнительные сведения см. в разделе О сертификатах.

Сопоставление сертификатов клиента

Можно связать, или сопоставить, сертификаты клиента и учетные записи пользователя Windows на веб-сервере. После создания и включения сопоставления при каждом входе пользователя с клиентским сертификатом веб-сервер автоматически сопоставляет этого пользователя с соответствующей учетной записью Windows. Таким образом можно автоматически проверять подлинность пользователей, входящих в систему с сертификатами клиента, не требуя основной, краткой или встроенной проверки подлинности. Можно или сопоставить один сертификат клиента одной учетной записи пользователя Windows, или несколько сертификатов — одной учетной записи. Например, если на сервере присутствует несколько подразделений, каждое на своем веб-узле, можно использовать сопоставление «многие-к-одному» для установления соответствия сертификатов клиента каждого подразделения соответствующему веб-узлу. В этом случае каждый узел обеспечивает доступ только для своих клиентов. Дополнительные сведения см. в разделе Сопоставление клиентских сертификатов учетным записям пользователей.

Проверка подлинности для FTP

Анонимная проверка подлинности для FTP

Сервер FTP может быть сконфигурирован, чтобы разрешать анонимный доступ к своим ресурсам. Если анонимная проверка подлинности включена, IIS всегда будет пытаться сначала использовать ее, даже если другие методы включены. Если для ресурса выбрана анонимная проверка подлинности, все запросы к этому ресурсу будут выполняться без предложения ввести имя пользователя или пароль. Это возможно, поскольку IIS автоматически создает учетную запись пользователя Windows с именем IUSR_ИмяКомпьютера, где ИмяКомпьютера — имя сервера, на котором запущен IIS. Это очень похоже на анонимную проверку подлинности для WWW. Дополнительные сведения см. в разделе Анонимная проверка подлинности.

Обычная проверка подлинности для FTP

Чтобы установить FTP-подключение к веб-серверу с помощью обычной проверки подлинности, пользователи должны представить при входе имя пользователя и пароль, соответствующие допустимой учетной записи Windows. Если веб-сервер не может подтвердить личность пользователя, то сервер возвращает сообщение об ошибке. Эта проверка подлинности для FTP не является безопасной, поскольку пользователь передает пароль и имя пользователя по сети в незашифрованном виде. Дополнительные сведения см. в разделе Об управлении доступом.

Оставить комментарий

Комментарий:
можно использовать BB-коды
Максимальная длина комментария - 4000 символов.
 
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог