Установка и администрирование Microsoft Internet Information Services, IIS 6.0. [Занятие 15]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Friday 29 December 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Вкладка Безопасность каталога.
На вкладке Безопасность каталога вы можете задать способ доступа к содержимому вашего сайта для анонимных пользователей:
полный,
ограниченный
через безопасные соединения HTTP.
Анонимный доступ и проверка подлинности.
Чтобы указать, нужна ли анонимным пользователям проверка подлинности (аутентификация) при доступе к вашему сайту, откройте диалоговое окно Методы проверки подлинности, щелкнув кнопку Изменить в области Управление доступом и проверка подлинности на вкладке Безопасность каталога. Это диалоговое окно используется для конфигурирования следующих настроек:
Анонимный доступ. Эта настройка определяет, разрешается ли анонимный доступ и какая при этом требуется пользовательская учетная запись. Стандартная анонимная учетная запись, созданная при установке IIS на сервере, имеет имя IUSR_ИмяСервера, где ИмяСервера является NetBIOS-именем сервера. При анонимном доступе пользователи имеют доступ к содержимому сайта при помощи своих web-браузеров и им не нужно предоставлять никаких полномочий для аутентификации. Этот метод аутентификации типичен для публичных web-узлов в Интернете. Другие методы аутентификации тем или иным способом позволяют определять пользовательские полномочия и применяются в основном для интрасетей, экстрасетей и закрытых сайтов Интернета.
Встроенная проверка подлинности Windows (или интегрированная аутентификация). Это новое название для настройки, которая раньше называлась Аутентификация вызов/ответ Windows NT (Windows NT Challenge/ Response Authentication), а еще раньше называлась NTLM (NT LAN Manager - Authentication). Для защиты аутентификации используется криптографический обмен без фактической передачи удостоверений через соединение. Пользователю не предлагается ввести свои удостоверения, а используются удостоверения, введенные при его текущем входе в систему. В интегрированной аутентификации Windows может также применяться аутентификация протокола Kerberos, если на сервере установлена Служба каталога Active Directory и если такая аутентификация поддерживается браузером клиента.
Краткая проверка для серверов доменов Windows. Этот новый метод аутентификации определен в спецификациях HTTP 1.1. Он поддерживается IIS 6.0 и может работать через брандмауэры и прокси-серверы. При этом методе через соединения передаются не сами удостоверения (credentials) пользователя, а хэш (hash) сообщения. Информация передается в незашифрованном виде, но она перемешана, поэтому ее декодирование существенно затруднено, что и обеспечивает защиту. Однако контроллеру домена, к которому поступает запрос на аутентификацию, требуется копия пользовательского пароля в виде открытого текста, поэтому необходимы дополнительные меры по защите контроллера домена.
Обычная. При использовании обычной (базисной) аутентификации клиент вводит свои удостоверения (credentials) в диалоговом окне, после чего удостоверения передаются через сетевое соединение без шифрования. Обычная аутентификация определяется первоначальными спецификациями протокола HTTP 1 и поддерживается почти всеми типами web-браузеров, в том числе самыми старыми. Если пользователи, посещающие ваш сайт, применяют старые браузеры, неспособные аутентифицироваться при помощи других методов, вам придется применять на своем сайте базисную аутентификацию, несмотря на уязвимость, присущую этому методу.
Проверка подлинности в системе .NET Passport. Данный метод использует технологию Microsoft Passport для аутентификации пользователей.
Встроенная проверка подлинности Windows спроектирована для работы в основном в интрасетях и других внутренних сетях. Она не будет работать через прокси-соединения HTTP.
Комбинирование различных способов проверки подлинности
Рассмотрим последствия выбора более чем одного способа проверки подлинности (метода аутентификации) в диалоговом окне Методы проверки подлинности. Если вы выбрали сразу Анонимный доступ и какую-либо разновидность доступа с аутентификацией, например, Обычная, то сначала производится попытка анонимного доступа. При неудаче делается попытка доступа с аутентификацией. Неудача анонимного доступа может произойти, например, если полномочия NTFS для доступа к ресурсу явно запрещают доступ анонимных пользователей.
Если вы выберете две или более разновидности доступа с аутентификацией, то сначала будут применяться наиболее защищенные формы. Например, попытка интегрированной аутентификации Windows будет предприниматься прежде попытки обычной аутентификации.
Ограничения IP-адресов и имен доменов.
На вкладке Безопасность каталога вы можете также ограничить доступ клиентов к web-узлу в зависимости от их IP-адреса или доменного DNS-имени.
Ниже показано диалоговое окно Ограничение IP-адресов и имен доменов, доступ к которому производится из страницы с вкладкой Безопасность каталога.
При помощи этого диалогового окна можно либо разрешить доступ к сайту всем клиентам, за исключением имеющих заданные в нем IP-адреса или доменные имена, либо запретить доступ всем клиентам, кроме имеющих заданные IP-адреса или доменные имена. Ограничения можно задавать одним из трех способов:
задать IP-адрес некоторого клиента;
задать идентификатор сети и маску подсети, представляющую диапазон IP-адресов;
задать DNS-имя некоторого домена.
Заметьте, что последний способ существенно ухудшает производительность сервера, т.к. при его использовании для всех клиентов до получения разрешения соединиться необходим обратный поиск DNS.
Безопасные подключения.
На вкладке Безопасность каталога (область Безопасные подключения) вы можете также разрешить использование соединений HTTP, защищенных при помощи протокола SSL, который применяется для шифрования web-трафика между клиентом и сервером. Шифрование при помощи SSL важно, если вы планируете использовать сервер для исполнения web-приложений, связанных с финансовыми операциями, или для хранения важной информации. Web-браузеры осуществляют доступ к защищенным серверам при помощи SSL, применяя URL, начинающиеся с https://, а не с http://. Протокол SSL основан на криптографии с открытым ключом, в которой идентификация и доверие к серверам (и клиентам) основываются на парах открытый/личный ключ, используемых для шифрования и расшифровки сообщений, что гарантирует защищенность и целостность передаваемой информации (другими словами, вы можете быть уверены, что сообщения приходят именно от тех, кто говорит, что послал их). Если вы хотите организовать работу с защищенными соединениями, нужно сначала установить доступ к сертификационному центру, способному выдать вашему серверу IIS необходимые ему сертификат сервера и пару ключей (открытый и личный). Для этого вы можете:
Воспользоваться доверяемым публичным сертификационным центром (например, VeriSign) и получить сертификат и пару ключей. Это решение подходит, если вы собираетесь использовать защищенные соединения для публичного сайта Интернета, размещенного на вашем сервере, или
Установить Службу сертификации на одном или нескольких серверах Windows Server 2003 вашего предприятия и завести свой собственный сертификационный центр. Это решение оптимально для организации защищенных соединений с сайтом приватной внутренней сети (интрасети), поддерживаемым вашим сервером.
Чтобы разрешить применение SSL, нужно сначала сгенерировать файл запроса сертификата и "подать на рассмотрение" этот файл в сертификационный центр. Сертификат сервера содержит связанный с ним открытый ключ и используется для проверки подлинности сервера и для установления защищенных соединений.
Чтобы получить сертификат сервера, выполните описанные ниже действия. В нашем примере запрашивается сертификат сервера для Веб-узла по умолчанию на сервере Win2003s.test.fio.ru, а Служба сертификации работает на контроллере домена dc1. fio.ru. Сертификационный центр для нашего предприятия fio.ru будет иметь имя Fio.
В странице окна свойств Веб-узла по умолчанию с вкладкой Безопасность каталога щелкните кнопку Сертификат. Запустится Мастер сертификатов веб-сервера.
Щелкните кнопку Далее. Выберите Создание нового сертификата.
Щелкните кнопку Далее. Если вы хотите "подать на рассмотрение" файл запроса публичному сертификационному центру, то выберите Подготовить запрос сейчас, чтобы отправить его позднее. В этом случае позднее вам нужно будет установить или присоединить на вашем сервере сертификат, который вы получите от сертификационного центра. А если вы хотите сразу сделать запрос, получить и присоединить сертификат, подав запрос непосредственно в сертификационный центр своего предприятия, то выберите Немедленно отправить запрос в локальную службу сертификации. Сейчас выберите второй вариант.
Щелкните кнопку Далее. Задайте понятное имя для сертификата (в нашем примере - Веб-узел по умолчанию) и длину в битах, определяющую силу шифровального ключа (512 или 1024 бит).
Щелкните кнопку Далее. Задайте в вашем сертификате название организации и имя организационной единицы. Затем щелкните кнопку Далее.
Задайте обычное имя вашего сайта. Если ваш сайт является публичным сайтом Интернета, то используйте полностью квалифицированное DNS-имя сайта. Если сайт используется внутри офисной сети, достаточно указать NetBIOS-имя компьютера. В нашем примере в качестве обычного имени Веб-узла по умолчанию мы используем Win2003s.
Щелкните кнопку Далее. Укажите город, штат и страну. Используйте официальные названия и не используйте сокращений (за исключением двухбуквенных кодов стран).
Щелкните кнопку Далее. Укажите имя файла в котором будет сохранен запрос на сертификацию. Можно оставить имя файла созданное мастером по умолчанию.
Затем щелкните кнопку Далее.
Подтвердите введенную информацию и щелкните кнопку Далее.
После нажатия кнопки Готово мастер закончит свою работу.
Как только сертификат сервера будет установлен на вашем web-узле, вы сможете посмотреть информацию о нем, для чего нужно щелкнуть кнопку Просмотр на вкладке Безопасность каталога.
Для завершения подключения протокола SSL для сайта Веб-узел по умолчанию на сервере Win2003s.test.fio.ru выполните следующие действия:
Перейдите на вкладку Веб-узел окна свойств узла Веб-узел по умолчанию и убедитесь, что в качестве порта SSL задан порт 443 (используемый SSL по умолчанию). (При помощи кнопки Дополнительно вы можете сконфигурировать и другие параметры идентификации SSL для сайта)
Снова перейдите к странице с вкладкой Безопасность каталога и щелкните кнопку Изменить, находящуюся в области Безопасные подключения. Откроется диалоговое окно Безопасные подключения.
Установите флажок Требуется безопасный канал (SSL) и щелкните кнопку ОК, чтобы завершить конфигурирование SSL для сайта Веб-узел по умолчанию (Другие настройки, имеющиеся в этом диалоговом окне, обсуждаются в разделе "Настройка защищенных соединений"). Для применения настроек снова щелкните кнопку ОК.
Проверьте защищенные соединения: в Internet Explorer откройте URL http://Win2003s.test.fio.ru. В дереве консоли IIS выберите Веб-узел по умолчанию, щелкните кнопку Действие и выберите Обзор в раскрывающемся меню.
Internet Explorer попытается открыть домашнюю страницу http://Win2003s.test.fio.ru, принятую по умолчанию, но в результате появится сообщение "The page must be viewed over a secure channel" ("Эта страница должна просматриваться через защищенный канал"). Введите измененный URL - https://Win2003s.test.fio.ru.
Может появиться диалоговое окно, сообщающее, что вы сейчас увидите страницы через защищенное соединение.
Если окно появится, то щелкните кнопку ОК. Должна открыться домашняя страница Default.htm.
Настройка безопасных подключений
Безопасные подключения можно использовать не только для того, чтобы включить SSL с использованием сертификата сервера, установленного на компьютере с IIS, но и чтобы:
Указать, что соединения SSL будут использовать сильное 128-битное шифрование
Указать, каким способом следует обрабатывать сертификаты клиентов. Клиентские сертификаты удостоверяют идентичность клиентов и обычно используются дистанционными пользователями, нуждающимися в защищенном доступе к корпоративной внутренней сети через незащищенные соединения Интернета. Вы можете задать игнорирование, принятие или необходимость клиентских сертификатов для соединений SSL.
Включить отображение клиентских сертификатов. Эта возможность позволяет администраторам создать отображение между пользовательскими учетными записями Windows Server 2003 и клиентскими сертификатами, благодаря чему пользователи, имеющие соответствующие клиентские сертификаты, смогут автоматически аутентифицироваться и входить в сеть.
Включить список доверенных сертификатов. Список доверенных сертификатов - это принятый список сертификационных центров, которые рассматриваются данным web-узлом как надежные. Списки доверенных сертификатов создаются при помощи Мастера списков доверия сертификатов, для запуска которого нужно щелкнуть кнопку Создать в нижней части диалогового окна Безопасные подключения.
