Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 7:

Аутентификация

< Лекция 6 || Лекция 7: 123456 || Лекция 8 >

Базовая аутентификация

Наиболее широко используется базовая аутентификация. Поскольку вся информация представляется и передается в открытом виде, данный метод аутентификации прост для обеспечения несложных программных взаимодействий. Но в этом случае пароли будут раскрыты быстрее, чем вы произнесете: "Угроза безопасности".

Компоненты веб-сервера и FTP-сервера поддерживают базовую аутентификацию. Она работает в IIS следующим образом.

  1. Пользователь вводит имя и пароль для аутентификации.
  2. Браузер выполняет 64-разрядное кодирование пароля и передает его на сервер.
  3. IIS проверяет правильность имени пользователя и пароля и предоставляет доступ к ресурсам.

Довольно просто, не правда ли? Поскольку базовая аутентификация встроена в спецификацию HTTP, большая часть веб-браузеров ее поддерживает, что весьма полезно при работе с браузерами не от Microsoft. Проблему, связанную с передачей пароля в открытом виде, можно обойти, используя протокол защищенных сокетов (SSL) для шифрования всего трафика при передаче через сеть.

Браузеры Internet Explorer версии 2.0 и выше перед использованием базовой аутентификации пытаются выполнить интегрированную аутентификацию Windows.

Примечание. Под 64-разрядным кодированием подразумевается система представления пароля в виде числа. Другими распространенными системами исчисления являются десятеричная (обычные десятичные числа), двоичная (двоичные числа) и шестнадцатеричная (шестнадцатеричные числа). Кодирование с использованием системы исчисления с основанием 64 подробно описано в документе RFC 1521, авторами которого являются Nathaniel Borenstein и Ned Freed. Данная статья определяет 65-символьный поднабор символов US-ASCII и предусматривает использование шести бит на каждый символ. Это могут быть символы верхнего и нижнего регистра, A – Z, числа 0 – 9, специальные символы + и /. Знак равенства (" = ") является 56-м символом и зарезервирован для добавления в конце данных.

Маркеры доступа базовой аутентификации

Для входа в систему с использованием базовой аутентификации IIS выполняет кэширование. При входе на сервер Windows создается маркер доступа со всеми идентификаторами SID для всех групп, членом которых является входящее лицо. Данный маркер доступа хранится в кэш-памяти, и IIS использует его при разрешении доступа к объектам; при этом IIS не проводит аутентификацию при каждом обращении пользователя к объекту. Несмотря на повышение производительности IIS, данная функция представляет собой угрозу безопасности, поскольку злоумышленник может получить доступ к маркеру в кэше доступа, перед тем как кэш от него избавится. По умолчанию время жизни (TTL) маркера равно 900 с. Этот риск можно уменьшить следующим образом.

  • Не осуществляйте вход в систему посредством базовой аутентификации с учетной записью пользователя, обладающей повышенными правами, особенно администраторскими.
  • Уменьшите значение параметра UserTokenTTL в реестре, чтобы маркер доступа быстрее становился недействительным. Установите этот параметр равным 0, чтобы вовсе отключить кэширование маркеров доступа.
  • Отсутствие кэширования маркеров доступа вызовет снижение производительности. Необходимо сопоставить этот факт с потребностью в учетных записях Administrator (Администратор) для доступа к серверу.

Примечание. Ключ реестра UserTokenTTL расположен в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InetInfo\Parameters\UserTokenTTL. Он может отсутствовать в системе, и вам придется его создать. Как всегда, изменение реестра является рискованной процедурой, поэтому будьте осторожны.

Учетные записи пользователей и базовая аутентификация

Для использования базовой аутентификации учетная запись пользователя должна быть определена либо на локальном компьютере, либо на доверенном контроллере домена. Контроль доступа, осуществляемый учетной записью, обеспечивается посредством разрешений файловой системы NTFS. Щелкните правой кнопкой на объекте в левой части консоли IIS MMC и выберите команду Properties (Свойства). В области Authentication And Access Control (Аутентификация и контроль доступа) вкладки Directory Security (Безопасность каталога) окна Properties (Свойства) нажмите на кнопку Edit (Изменить). Затем укажите тип используемой аутентификации, а также домен по умолчанию (если компьютер является членом домена). Можно указать и область, но это поле не играет особой роли на сервере, оно лишь отображает указанное значение клиенту при появлении окна входа в систему.

< Лекция 6 || Лекция 7: 123456 || Лекция 8 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.
Александр Гордеев
Александр Гордеев
Казахстан, Алматы, ТУРАН
Александр Даниленко
Александр Даниленко
Россия, Москва, 797, 1993