Jak działa uwierzytelnianie w sieci Web

Uwierzytelnianie w sieci Web odbywa się w ramach komunikacji między przeglądarką sieci Web a serwerem sieci Web, podczas której przesyłanych jest kilka nagłówków protokołu HTTP (Hyper Text Transfer Protocol) i komunikatów o błędach.

Komunikacja przebiega w następujący sposób:

1. Przeglądarka sieci Web zgłasza żądanie, na przykład HTTP-GET.

2. Serwer sieci Web sprawdza, czy wymagane jest uwierzytelnienie. Jeśli sprawdzenie nie powiedzie się, ponieważ uwierzytelnienie jest wymagane, serwer odsyła komunikat o błędzie podobny do następującego:

Brak upoważnienia do wyświetlania tej strony

Nie masz uprawnień, by przeglądać ten katalog lub tę stronę przy użyciu podanych poświadczeń. Komunikat ten zawiera informacje, których przeglądarka sieci Web może użyć do ponownego przesłania żądania jako żądania uwierzytelnionego.

3. Przeglądarka sieci Web, na podstawie odpowiedzi serwera, buduje nowe żądanie zawierające informacje uwierzytelniania.

4. Serwer sieci Web dokonuje sprawdzenia uwierzytelnienia. Jeśli sprawdzenie powiedzie się, serwer sieci Web odsyła do przeglądarki dane, których pierwotnie żądano.

Metody uwierzytelniania

UWAGA: W przypadku niektórych opisanych niżej metod uwierzytelniania konieczne będzie użycie dysków sformatowanych w systemie plików NTFS, ponieważ dyski sformatowane w tym systemie zapewniają najwyższy poziom zabezpieczeń.

Usługi IIS obsługują pięć metod uwierzytelniania w sieci Web wymienionych poniżej:

Uwierzytelnianie anonimowe

Usługi IIS tworzą konto IUSR_nazwa_komputera (gdzie nazwa_komputera jest nazwą komputera) w celu uwierzytelniania anonimowych użytkowników, żądających zawartości sieci Web. Konto to daje użytkownikowi uprawnienia do lokalnego zalogowania się. Można zresetować dostęp użytkowników anonimowych w taki sposób, by używali dowolnego poprawnego konta systemu Windows.

UWAGA: Istnieje możliwość skonfigurowania różnych kont anonimowych dla różnych witryn sieci Web, katalogów wirtualnych, katalogów fizycznych i plików.

Jeśli komputer z systemem Windows 2000 jest serwerem autonomicznym, konto IUSR_nazwa_komputera znajduje się na serwerze lokalnym. Jeśli serwer jest kontrolerem domeny, konto IUSR_nazwa_komputera jest zdefiniowane dla domeny.

Uwierzytelnienie podstawowe

Uwierzytelnienie podstawowe służy do ograniczania dostępu do plików na serwerze sieci Web z dyskiem sformatowanym w systemie NTFS. Jeśli używane jest uwierzytelnienie podstawowe, użytkownik musi wprowadzić poświadczenia, a możliwość dostępu zależy od identyfikatora użytkownika.

Aby skorzystać z uwierzytelnienia podstawowego, należy nadać każdemu użytkownikowi prawo do lokalnego logowania się, a aby ułatwić administrowanie, należy dodać użytkowników do grupy mającej dostęp do potrzebnych plików.

UWAGA: Ponieważ poświadczenia użytkowników są zakodowane w formacie Base64, ale nie są szyfrowane podczas transmisji w sieci, uwierzytelnienie podstawowe uznawane jest za niezabezpieczony mechanizm uwierzytelniania.

Zintegrowane uwierzytelnianie systemu Windows

Zintegrowane uwierzytelnianie systemu Windows zapewnia wyższy poziom bezpieczeństwa niż uwierzytelnianie podstawowe i dobrze sprawdza się w środowiskach intranetowych, w których użytkownicy mają konta domenowe systemu Windows. W przypadku zintegrowanego uwierzytelniania systemu Windows przeglądarka próbuje użyć bieżących poświadczeń użytkownika, które zostały użyte do zalogowania się do domeny, a jeśli użycie tych poświadczeń nie powiedzie się, wyświetlony zostanie monit o wprowadzenie nazwy użytkownika i hasła. Jeśli używane jest zintegrowane uwierzytelnianie systemu Windows, hasło użytkownika nie jest przesyłane do serwera. Jeśli użytkownik zalogował się do lokalnego komputera jako użytkownik domeny, to przy próbie dostępu do komputera sieciowego w tej domenie nie musi ponownie przechodzić uwierzytelniania.

UWAGA: Nie można używać zintegrowanego uwierzytelniania systemu Windows za pośrednictwem serwera proxy.

Uwierzytelnianie szyfrowane

Uwierzytelnianie szyfrowane eliminuje wiele wad uwierzytelnienia podstawowego. Gdy używane jest uwierzytelnianie szyfrowane, hasło nie jest wysyłane w postaci tekstu zwykłego. Ponadto uwierzytelniania szyfrowanego można używać za pośrednictwem serwera proxy. W uwierzytelnianiu szyfrowanym używany jest mechanizm wezwania/odpowiedzi (taki sam mechanizm jest używany w zintegrowanym uwierzytelnianiu systemu Windows), zaś hasła przesyłane są w formacie zaszyfrowanym. Aby użyć uwierzytelniania szyfrowanego:

• Serwer z systemem Windows 2000 musi znajdować się w domenie.

• Na kontrolerze domeny należy zainstalować plik IISSuba.dll. Ten plik jest kopiowany automatycznie podczas uruchamiania systemu Windows 2000 Server.

• Wszystkie konta użytkowników muszą być skonfigurowane z włączoną opcją Zapisz hasła dla wszystkich użytkowników w domenie, korzystając z szyfrowania odwracalnego. Po włączeniu tej opcji konieczne jest zresetowanie lub ponowne wprowadzenie hasła.

UWAGA: Jeśli używane jest uwierzytelnianie szyfrowane, w charakterze przeglądarki sieci Web musi być używany program Microsoft Internet Explorer w wersji 5.0 lub nowszej.

Mapowanie certyfikatu klienta

Mapowanie certyfikatu klienta jest metodą polegającą na utworzeniu „mapowania” między certyfikatem a kontem użytkownika. W tym modelu użytkownik przedstawia certyfikat, a system analizuje mapowanie w celu określenia, które konto użytkownika należy zalogować. Mapowanie certyfikatu do konta użytkownika systemu Windows można utworzyć na dwa sposoby:

• Korzystając z usługi Active Directory.
  
  lub

• Korzystając z reguł zdefiniowanych w usługach IIS.

Aby uzyskać dodatkowe informacje na temat sposobu mapowania certyfikatów klientów do kont użytkowników należy wyszukać frazę „Mapowanie certyfikatów klientów” w dokumentacji usług IIS. Jeśli usługi IIS są zainstalowane, dokumentację usług IIS można wyświetlić, wpisując następujący adres URL na pasku adresu przeglądarki sieci Web, gdzie lokalny_host jest nazwą lokalnego hosta:

http://lokalny_host/iisHelp/iis/misc/default.asp

Każdą z metod uwierzytelniania można skonfigurować w taki sposób, by sterowała dostępem do następujących elementów na serwerze IIS:

• Całej zawartości sieci Web obsługiwanej przez serwer IIS.

• Poszczególnych witryn sieci Web obsługiwanych przez serwer IIS.

• Poszczególnych katalogów wirtualnych lub katalogów fizycznych w witrynie sieci Web.

• Poszczególnych stron lub plików w witrynie sieci Web.

Jak skonfigurować uwierzytelnianie w witrynie sieci Web w usługach IIS

1. Zaloguj się na komputerze z serwerem sieci Web przy użyciu konta administracyjnego.

2. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer usług internetowych.
   
   Zostanie uruchomiona przystawka Internetowe usługi informacyjne.

3. W drzewie konsoli kliknij pozycję * nazwa komputera, gdzie nazwa komputera jest nazwą komputera.

4. Prawym przyciskiem myszy kliknij jeden z następujących elementów, a następnie kliknij polecenie Właściwości:

• Aby skonfigurować uwierzytelnienie dla całej zawartości sieci Web obsługiwanej przez serwer IIS, kliknij prawym przyciskiem myszy pozycję * nazwa komputera.

• Aby skonfigurować uwierzytelnienie dla jednej witryny sieci Web, kliknij prawym przyciskiem myszy tę witrynę.

• Aby skonfigurować uwierzytelnianie dla katalogu wirtualnego lub fizycznego w witrynie sieci Web, kliknij tę witrynę sieci Web, a następnie prawym przyciskiem myszy kliknij odpowiedni katalog, na przykład _vti_pvt.

• Aby skonfigurować uwierzytelnianie dla jednej strony lub pliku w witrynie sieci Web, kliknij odpowiednią witrynę, kliknij folder zawierający odpowiedni plik lub stronę, a następnie prawym przyciskiem myszy kliknij odpowiedni plik lub stronę.

W oknie dialogowym Nazwa elementu: Właściwości, gdzie Nazwa elementu jest nazwą wybranego elementu, kliknij kartę Zabezpieczenia katalogów.

UWAGA: Jeśli wybrano pojedynczy plik, kliknij kartę Zabezpieczenia plików.

W obszarze Dostęp anonimowy i kontrola uwierzytelniania kliknij przycisk Edytuj.

Zaznacz pole wyboru Dostęp anonimowy, aby włączyć dostęp anonimowy. Aby wyłączyć dostęp anonimowy, usuń zaznaczenie tego pola wyboru.

UWAGA: W wypadku wyłączenia dostępu anonimowego konieczne będzie skonfigurowanie jakiejś postaci dostępu uwierzytelnianego.

1. Aby wybrać inne konto dla dostępu anonimowego do tego zasobu, kliknij przycisk Edytuj, znajdujący się obok pola Konto używane dla dostępu anonimowego.

2. W oknie dialogowym Konto użytkownika anonimowego kliknij konto użytkownika, które ma być używane przy dostępie anonimowym.

3. Usuń zaznaczenie pola wyboru Zezwalaj programowi IIS kontrolować hasła, jeśli do uwierzytelniania użytkowników ma być używana funkcja API LogonUser() API systemu Windows.
   
   UWAGA: Wyłączenie opcji kontrolowania hasła wymusza stosowanie normalnego uwierzytelniania i lokalne logowanie konta. Należy wyłączyć tę opcję, jeśli użytkownicy napotykają trudności w dostępie do zasobów na komputerze sieciowym, takich jak pliki lub bazy danych programu Microsoft Access.

4. Kliknij przycisk OK.

2. W obszarze Dostęp uwierzytelniony zaznacz pole wyboru Uwierzytelnienie podstawowe (hasło wysyłane zwykłym tekstem). Gdy pojawi się następujący komunikat, kliknij przycisk Tak:

Wybrana opcja uwierzytelniania spowoduje przesyłanie haseł przez sieć bez szyfrowania danych. Osoba próbująca złamać zabezpieczenia systemu może użyć analizatora protokołów do poznania haseł podczas procesu uwierzytelniania. Więcej informacji o uwierzytelnianiu użytkowników można znaleźć w pomocy online. To ostrzeżenie nie dotyczy połączeń typu HTTPS (lub SSL).

Czy na pewno chcesz kontynuować?

1. Aby wybrać domenę, w której mają być uwierzytelniani użytkownicy korzystający z uwierzytelniania podstawowego, kliknij przycisk Edytuj obok pola Wybierz domenę domyślną.

2. Wpisz żądaną nazwę domeny w polu Nazwa domeny, a następnie kliknij przycisk OK.

3. Zaznacz pole wyboru Uwierzytelnienie szyfrowane dla serwerów domeny systemu Windows, aby używać uwierzytelniania szyfrowanego. Gdy zostanie wyświetlony następujący komunikat, kliknij przycisk Tak:

Uwierzytelnianie szyfrowane działa z kontami domeny systemu Windows 2000 i wymaga zapisywania haseł kont jako zaszyfrowanego tekstu zwykłego.

Czy na pewno chcesz kontynuować?

UWAGA: W konfiguracji kont użytkowników należy włączyć opcję Zapisz hasła dla wszystkich użytkowników w domenie, korzystając z szyfrowania odwracalnego.

4. Zaznacz pole wyboru Zintegrowane uwierzytelnienie systemu Windows, aby używać zintegrowanego uwierzytelniania systemu Windows.
   
   UWAGA: Ta metoda uwierzytelniania była wcześniej znana jako Wezwanie/Odpowiedź Microsoft Windows NT lub NT LAN Manager (NTLM).

5. Kliknij przycisk OK, a następnie w oknie dialogowym Nazwa elementu: Właściwości ponownie kliknij przycisk OK. Jeśli zostanie otwarte okno dialogowe Zastępowanie dziedziczenia:

1. Kliknij opcję Wybierz wszystko, aby zastosować nowe ustawienia uwierzytelniania do wszystkich plików lub folderów znajdujących się w zmienionym elemencie.

2. Kliknij przycisk OK.

6. Zamknij przystawkę Internetowe usługi informacyjne.

---