Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 7:

Аутентификация

< Лекция 6 || Лекция 7: 123456 || Лекция 8 >
Аннотация: Аутентификация является очень важной функцией на любом защищаемом веб-сайте. Каждый раз при посещении сайта новым клиентом необходимо выполнить его аутентификацию перед предоставлением доступа к запрашиваемым ресурсам. По умолчанию весь процесс аутентификации происходит на сервере, и клиент в нем непосредственно не участвует. Некоторые параметры аутентификации могут упростить доступ к веб-сайту, но иногда нужно наложить ограничения на пользователей и определить тех, кто может просматривать информацию на сайте. Здесь вступают в действие методы аутентификации, обеспечивающие большую степень ограничений.

В данной лекции описываются следующие основные типы аутентификации IIS.

  • Анонимная аутентификация.
  • Базовая аутентификация.
  • Аналитическая и дополнительная аналитическая аутентификация.
  • Интегрированная аутентификация Windows.
  • Аутентификация при помощи .NET Passport.

Примечание. Для аутентификации также используются сертификаты. О них подробно рассказывается в "Служба WWW" и "Шифрование" .

Анонимная аутентификация

Анонимная аутентификация открывает пользователям доступ к веб-сайтам и FTP-сайтам без предоставления имени пользователя и пароля. При доступе клиента к веб- или FTP-сайту IIS использует для аутентификации учетную запись Guest Account (Гостевая учетная запись интернета). Гостевая учетная запись интернета создается в процессе установки IIS и называется IUSR_<имя-компьютера>, где <имя_компьютера> – имя главного компьютера. Использование учетной записи анонимного доступа позволяет указывать, к каким ресурсам осуществляют доступ на данном сервере анонимные пользователи. При установке IIS в группу Guests (Гости) добавляется анонимная учетная запись, поэтому любые ограничения или разрешения для этой группы применимы и к этой учетной записи.

Примечание. При изменении имени компьютера гостевая учетная запись интернета не меняется и продолжает использовать прежнее имя компьютера. Поскольку учетные записи пользователей используют идентификаторы безопасности (SID) для определения самих себя, изменение имени компьютера никак не отразится на имени учетной записи.

При получении IIS запроса вначале выполняется автоматическая анонимная аутентификация. Если анонимная аутентификация не дает результата, то осуществляется попытка входа пользователя в систему с использованием другого метода. Если другие методы аутентификации недоступны, то IIS передает клиенту сообщение об ошибке HTTP "403 Access Denied" ("403 Доступ запрещен").

Совет. Для анонимного доступа можно использовать любую учетную запись, включая учетную запись Administrator (Администратор). Параметры доступа настраиваются во вкладке Directory Security (Безопасность каталога) окна Properties (Свойства). Окно свойств открывается после щелчка правой кнопкой мыши на нужном элементе в консоли IIS MMC и выбора команды Properties (Свойства). (Несмотря на то, что теоретически возможно использование учетной записи Administrator для анонимного доступа, советуем не делать этого.)

Методы входа в систему

Одним из кардинальных изменений в функционировании анонимного доступа является то, что произошла смена метода входа по умолчанию – с INTERACTIVE на NETWORK_CLEARTEXT. Раньше каждой учетной записи пользователя для доступа к IIS требовалось право Log On Locally (Осуществлять локальный вход в систему). Теперь, когда по умолчанию используется NETWORK_CLEARTEXT, этого больше не требуется, что снижает степень уязвимости, связанную с большим числом прав IIS.

В IIS используются четыре основные категории аутентификации.

  • INTERACTIVE (Интерактивная).
  • BATCH (Пакетная).
  • NETWORK (Сетевая).
  • SERVICE (Служба).

NETWORK_CLEARTEXT является разновидностью аутентификации NETWORK и используется по умолчанию в базовой аутентификации.

Подаутентификация в IIS

Если вы работали с IIS 5, то, вероятно, заметили, что в IIS 6 отсутствует поддержка автоматической синхронизации паролей. Автоматическая синхронизация паролей позволяла IIS контролировать пароль любой учетной записи, используемой для анонимного доступа. Очевидно, что это являлось угрозой безопасности, поскольку соответствующая динамически подсоединяемая библиотека ( IISSUBA.DLL ) могла быть использована для изменения пароля любой учетной записи. В IIS 6 такая возможность отключена по умолчанию. Тем не менее, при необходимости ее можно включить, но только в том случае, если учетная запись отвечает следующим критериям:

  • рабочий процесс, настроенный для приложения, выполняется как LocalSystem (Локальная система), а не Network Service (Сетевая служба);
  • IISSUBA.DLL зарегистрирована как компонент COM (использовать rundll32 );
  • включен параметр метабазы AnonymuosPasswordSynch.

Ни один из этих пунктов не соответствует первоначальной конфигурации IIS 6. Если первоначальная конфигурация не используется, то обнаружатся следующие факты.

При использовании режима изоляции IIS 5.0 внутрипроцессные приложения будут выполняться как LocalSystem.

Если операционная система Windows 2000 с IIS 5 обновлена до Windows Server 2003 (WS03) с IIS 6, и на веб-сайте IIS 5 включена автоматическая синхронизация паролей, то параметр метабазы AnonymousPasswordSynch будет установлен, однако вручную нужно будет внести два оставшихся изменения.

< Лекция 6 || Лекция 7: 123456 || Лекция 8 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.
Александр Гордеев
Александр Гордеев
Казахстан, Алматы, ТУРАН
Александр Даниленко
Александр Даниленко
Россия, Москва, 797, 1993