Приложение D. Методы аутентификации Microsoft IIS

Анонимная аутентификация

Anonymous Authentication (Анонимная аутентификация) позволяет пользователям входить в места общего доступа сайта без ввода имени пользователя или пароля. Когда пользователь подключается к общему веб-сайту, веб-сервер присваивает ему учетную запись Windows с именем IUSR_< имя_компьютера >, где < имя_компьютера > – имя сервера, на котором выполняется IIS.

Если включена анонимная аутентификация, IIS в первую очередь будет аутентифицировать пользователей с помощью этого метода, даже если включены другие методы аутентификации. В некоторых случаях браузер запросит у пользователя имя и пароль.

При использовании анонимной аутентификации можно включить опцию Allow IIS To Control Password (Разрешить IIS управление паролем). Когда разрешено управление паролем, пользователь уже не выполняет локальный вход, а входит в систему с использованием сетевого входа. При сетевом входе существуют несколько проблем. Например, невозможность доступа к удаленному ресурсу на другом сервере (даже к серверу Windows 2000, являющемуся доверенным для делегирования). В этом случае следует отключить параметр Allow IIS To Control Password (Разрешить IIS управление паролем) в Internet Services Manager (Диспетчер служб интернета). Следует обязательно переустановить пароль в User Manager (Диспетчер пользователей), чтобы он соответствовал учетной записи.

Базовая аутентификация

Метод Basic Authentication (Базовая аутентификация) широко используется и является стандартным методом получения имени пользователя и пароля. При помощи опции Basic Authentication веб-браузер на компьютере клиента отображает диалоговое окно, в котором пользователь вводит ранее присвоенные ему имена и пароли. После подтверждения сервером IIS соответствия имени пользователя и пароля действительной учетной записи Windows будет установлено соединение.

Преимущество базовой аутентификации заключается в том, что она является частью спецификации HTTP и поддерживается большинством браузеров. Недостатком же является то, что веб-браузеры, использующие базовую аутентификацию, передают пароли в незашифрованном виде. Посредством мониторинга каналов связи сети злоумышленник может легко перехватить и расшифровать пароли с использованием общедоступных средств. Не применяйте базовую аутентификацию, если нет уверенности в том, что канал связи между пользователями и веб-сервером надежно защищен, например, является прямым кабельным подключением или выделенной линией.

Интегрированная аутентификация Windows

Integrated Windows Authentication (Интегрированная аутентификация Windows) представляет собой безопасную форму аутентификации, использующую криптографический метод, называемый хешированием. В результате осуществляется безопасный обмен данными между клиентом и сервером, не подверженный дешифровке.

В отличие от базовой, интегрированная аутентификация изначально не запрашивает у пользователей имена и пароли. Она использует информацию о пользователе из текущего сеанса на компьютере клиента. Если аутентификация не смогла идентифицировать пользователя, браузер запросит у него имя и пароль учетной записи для обработки интегрированной аутентификацией.

Интегрированная аутентификация использует как протокол аутентификации Kerberos v5, так и свой собственный протокол типа "вопрос/ответ". Если на сервере установлен компонент Directory Services (Службы каталогов), используются оба эти протокола, в противном случае используется только протокол "вопрос/ответ".

К сожалению, метод интегрированной аутентификации поддерживается только Microsoft Internet Explorer. Следовательно, для среды интранет-сети, в которой компьютеры пользователей и веб-сервер находятся в одном домене, и администраторы могут обеспечить использование всеми пользователями браузера Micrsoft Internet Explorer, лучше всего подходит метод интегрированной аутентификации.

Ассоциирование клиентских сертификатов

Можно ассоциировать (или связывать) клиентские сертификаты с учетными записями пользователей на веб-сервере. После создания и включения карты сертификатов при каждом входе в систему пользователя с сертификатом клиента веб-сервер будет автоматически связывать этого пользователя с соответствующей учетной записью Windows. Так автоматически аутентифицируются пользователи, осуществляющие вход с сертификатами клиентов, без использования базовой или интегрированной аутентификации. Можно связать один или несколько сертификатов клиента с учетной записью Windows. Например, если на сервере представлено несколько подразделений компании или несколько сайтов, используется связывание "много к одному" для ассоциирования всех сертификатов клиентов каждого подразделения или компании соответствующему веб-сайту. Таким образом, доступ к каждому сайту будет разрешен только его непосредственным клиентам.