Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 15 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
15
Dung lượng
219,01 KB
Nội dung
Cấu hìnhthẩmđịnhWebInternetInformation
Services trênWindowsServer2003
Bài này sẽ hướng dẫn từng bước cách cấuhìnhthẩmđịnh yêu cầu dựa trên nền
tảng Web trong Microsoft InternetInformationServices (IIS) 6.0.
Quá trình thẩmđịnhWeb diễn ra như thế nào
Thẩm địnhWeb là hoạt động truyền thông giữa Web brower (trình duyệt webtrên
máy khách) và Webserver (trình chủ web) với một số lượng nhỏ header và thông
báo lỗi Hypertext Transfer Protocol (giao thức truyền tải siêu văn bản).
Các bước truyền thông bao gồm:
1. Web browser tạo một yêu cầu, chẳng hạn như HTTP-GET.
2. Webserver thực hiện kiểm tra thẩm định. Nếu quá trình thẩmđịnh không thành
công, Server trả lời bằng một thông báo lỗi, tương tự như:
You are not authorized to view this page
You do not have permission to view this directory or page using the
credentials you supplied.
(Quá trình thẩmđịnh không thành công.
Bạn không được quyền xem thư mục hay trang này với các thông tin thẩmđịnh
cung cấp).
3. Web browser dùng trả lời của server để xây dựng yêu cầu mới chứa các thông
tin thẩm định.
4. Webserver kiểm tra lại thẩm định. Nếu thẩmđịnh thành công, Webserver gửi
dữ liệu được yêu cầu ban đầu tới Web browser.
Các phương thức thẩmđịnh
Chú ý: Với một số phương thức thẩmđịnh sau, bạn phải dùng ổ đĩa có kiểu định
dạng file hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất.
IIS hỗ trợ các phương thức thẩmđịnh sau:
Thẩm định ẩn danh
IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server
đang chạy IIS) để thẩmđịnh người dùng ẩn danh khi họ yêu cầu nội dung Web.
Tài khoản này cung cấp cho người dùng quyền đăng nhập cục bộ. Bạn có thể thiết
lập lại quyền truy cập người dùng ẩn danh để sử dụng bất kỳ tài khoản Windows
hợp lệ nào.
Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục
ảo hay thư mục vật lý và cho cả các file.
Nếu máy tính sử dụng WindowsServer2003 là máy chủ độc lập, tài khoản
IUSR_ComputerName nằm trênserver cục bộ. Nếu server là một domain
controller, tài khoản IUSR_ComputerName được định nghĩa cho domain.
Thẩm định cơ bản
Sử dụng phương thức thẩmđịnh cơ bản để giới hạn truy cập file trênWebserver
định dạng NTFS. Với kiểu thẩmđịnh cơ bản, người dùng phải nhập thông tin thẩm
định và quyền truy cập dựa trên ID người dùng (user ID). Cả user ID và password
đều được gửi qua mạng theo dạng văn bản thuần túy.
Để dùng thẩmđịnh cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập
cục bộ. Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng
nhóm theo quyền truy cập các file cần thiết.
Chú ý: Thông thường thông tin thẩmđịnh người dùng được mã hóa bằng chương
trình Base64. Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa.
Vì thế thẩmđịnh cơ bản không được xem là cơ chế thẩmđịnh an toàn.
Thẩm định tích hợp sẵn trênWindows
Thẩm định tích hợp trênWindows an toàn hơn thẩmđịnh cơ bản và hoạt động tốt
trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain.
Trong thẩmđịnh tích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông
tin thẩmđịnh của người dùng hiện thời đăng nhập trên domain. Nếu cố gắng này
thất bại, người dùng mới được nhắc nhập username, password. Khi sử dụng thẩm
định tích hợp trên Windows, mật khẩu của người dùng không phải truyền tới
server. Nếu người dùng đăng nhập vào máy tính cục bộ như một domain user, user
không bị thẩmđịnh lại khi truy cập máy tính nối mạng trong domain đó. Chú ý là
bạn phải dùng trình duyệt Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn
có cơ chế thẩmđịnh tích hợp sẵn.
Chú ý: Bạn không thể dùng thẩmđịnh tích hợp sẵn trênWindows qua một proxy
server.
Thẩm định phân loại
Thẩm định phân loại khắc phục được nhiều nhược điểm của thẩmđịnh cơ bản. Mật
khẩu sẽ không bị gửi đi theo dạng văn bản thuần túy. Hơn nữa bạn có thể dùng
thẩm định phân loại qua một proxy server. Thẩmđịnh phân loại sử dụng cơ chế
challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở thẩm
định tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua
mạng.
Để dùng thẩmđịnh phân loại, chú ý các yêu cầu tiên quyết sau:
• User và IIS server phải là thành viên, hoặc được ủy thác trên cùng một domain.
• User phải có tài khoản người dùng Windows hợp lệ lưu trữ trong Active
Directory trên domain controller.
• Domain phải dùng domain controller dựa trên Microsoft Windows 200 hoặc mới
hơn.
• Bạn phải cài file IISSuba.dll trên domain controller. File này được sao chép tự
động trong quá trình cài đặt Windows 2000 hoặc WindowsServer2003.
• Bạn phải cấuhình tất cả tài khoản người dùng sử dụng tùy chọn Store password
using reversible encryption (Lưu trữ mật khẩu dùng mã hóa đảo ngược). Muốn
sử dụng tùy chọn tài khoản này, mật khẩu phải được thiết lập lại hoặc được nhập
lại.
Chú ý: Muốn dùng mã hóa phân loại bạn phải sử dụng phiên bản Microsoft
Internet Explorer từ 5.0 trở lên làm trình duyệt Web.
Thẩm định .NET Passport
Microsoft .NET Passport là dịch vụ thẩmđịnh người dùng cho phép bảo mật đăng
nhập đơn, cung cấp cho người dùng quyền truy cập bảo mật nâng cao các website
và dịch vụ hỗ trợ .NET Passport. Website hỗ trợ .NET Passport dựa trênserver
trung tâm .NET Passport để thẩmđịnh tư cách người dùng. Tuy nhiên server trung
tâm không cho phép hay từ chối truy cập của một người dùng cụ thể tới website hỗ
trợ .NET Passport riêng lẻ. Mỗi website sẽ có trách nhiệm điều khiển quyền hạn
của người dùng. Khi bạn dùng tùy chọn này, yêu cầu tới IIS phải chứa thông tin
thẩm định .NET Passport hợp lệ trên hoặc là xâu truy vấn, hoặc là trong cookie.
Nếu IIS không tìm ra được thông tin thẩmđịnh .NET Passport, yêu cầu sẽ được
gửi lại tới trang đăng nhập .NET Passport.
Ánh xạ chứng chỉ client
Ánh xạ chứng chỉ client là phương thức trong đó một bản đối chiếu được tạo ra
giữa chứng chỉ và tải khoản người dùng. Trong mô hình này, người dùng đưa ra
một chứng chỉ và hệ thống nhìn vào bản đối chiếu để đối chiếu xem tài khoản
người dùng nào sẽ được đăng nhập. Bạn có thể ánh xạ chứng chỉ với tài khoản
người dùng Windows bằng một trong hai cách:
• Sử dụng Active Directory
• Hoặc sử dụng các quy tắc được định nghĩa trong IIS.
Để biết thêm thông tin về cách ánh xạ chứng chỉ client với tài khoản người dùng,
bạn có thể tìm phần “Client Certificate Mapping” trên tài liệu hướng dẫn của IIS.
Nếu đã cài IIS, bạn có thể truy cập các file Help hoặc sử dụng các phương thức
sau:
• Kích phải chuột lên một nút nào đó trong Internet Service Manager, sau đó chọn
Help.
• Khởi động Windows Explorer, xác định vị trí thư mục:
tên_ổ_cứng:\Windows\Help, sau đó mở file Lismmc.chm.
Bạn có thể cấuhình cho từng phương thức thẩmđịnh điều khiển truy cập tới các
đối tượng sau trên IIS server:
• Tất cả nội dung Web nằm trên IIS Server.
• Các website riêng nằm trên IIS Server.
• Các thư mục ảo hoặc thư mục vật lý riêng nằm trên website.
• Các trang hoặc file riêng trên một website.
Cấu hìnhthẩmđịnh website IIS như thế nào
1. Sử dụng tài khoản quản trị viên đăng nhập vào Web Server.
2. Khởi động IIS Manager hoặc mở snap-in IIS.
3. Mở rộng Server_name, trong đó Server_name là tên của server; mở rộng phần
Web Sites.
4. Sử dụng một trong các phương thức sau (phù hợp với trường hợp cụ thể của
bạn), sau đó kích Properties:
• Để cấuhìnhthẩmđịnh cho tất cả nội dung Web nằm trên IIS server, kích phải
chuột lên Web Sites.
• Để cấuhìnhthẩmđịnh cho một website riêng, kích phải chuột lên website bạn
muốn.
• Để cấuhìnhthẩmđịnh cho thư mục ảo hay thư mục vật lý trong một website,
kích vào website, sau đó kích phải chuột lên thư mục muốn thiết lập, chẳng hạn
như _vti_pvt.
[...]... (truy cập được thẩm định) , kích chọn hộp kiểm Windows Integrated authentication nếu bạn muốn sử dụng cơ chế thẩmđịnh tích hợp sẵn trênWindows Chú ý: Phương thức thẩmđịnh này trước đây được biết đến dưới hình thức Challenge/Response hay NT LAN Manager (NTLM) trong Microsoft Windows NT 9 Kích chọn hộp kiểm Digest authentication for Windows domain servers nếu muốn sử dụng cơ chế thẩmđịnh phân loại... dụng các thiết lập thẩmđịnh mới cho toàn bộ file hoặc thư mục trên vị trí đối tượng bạn thay đổi b Ấn OK 13 Thoát IIS Manager hoặc đóng IIS snap-in Áp dụng cho • Microsoft WindowsServer 2003, Datacenter Edition (32-bit x86) • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) • Microsoft WindowsServer 2003, Standard Edition (32-bit x86) • Microsoft Windows Server 2003, 64-Bit Datacenter... 2003, Standard Edition (32-bit x86) • Microsoft Windows Server 2003, 64-Bit Datacenter Edition • Microsoft Windows Server 2003, Enterprise x64 Edition • Microsoft InternetInformationServices 6.0 • Microsoft Windows Small Business Server2003 Premium Edition • Microsoft Windows Small Business Server2003 Standard Edition ... (hay SSL)) Bạn có muốn tiếp tục?) a Muốn mô tả tên miền dùng cho thẩmđịnh người dùng sử dụng cơ chế thẩmđịnh cơ bản, gõ tên miền vào ô Default domain b Ngoài ra còn cần nhập giá trị vào ô Realm 11 Kích chọn hộp kiểm NET Passport authentication nếu muốn dùng thẩmđịnh NET Passport Chú ý: Khi bạn chọn tùy chọn này, các phương thức thẩmđịnh khác không dùng được 12 Bấm OK, sau đó trong hộp thoại Item... with Active Directory domain accounts For more information about configuring Active Directory domain accounts to allow digest authentication, click Help Are you sure you wish to continue?” (Thẩm định phân loại chỉ làm việc với các tài khoản domain Active Directory Để biết thêm thông tin về cách cấuhình tài khoản miền Active Directory cho phép sử dụng thẩmđịnh phân loại, kích vào Help Bạn có muốn tiếp...• Để cấuhìnhthẩmđịnh cho một trang hay file riêng trong website, kích vào website, sau đó kích vào thư mục chứa file hoặc trang web và bấm chuột phải lên chúng 5 Trong hộp thoại ItemName Properties (ItemName là tên đối tượng bạn chọn), ấn vào tab Directory Security... to HTTPS (or SSL) connections Are you sure you want to continue? (Tùy chọn thẩmđịnh bạn chọn truyền mật khẩu qua mạng mà không mã hóa dữ liệu Một người nào đó muốn phá hoại bảo mật hệ thống có thể dùng chương trình phân tích giao thức để kiểm tra mật khẩu người dùng trong quá trình thẩmđịnh Để biết thêm thông tin về thẩmđịnh người dùng, tham khảo ở hệ thông tư vấn trực tuyến Cảnh báo này không áp... 6 Dưới nhãn Anonymous access and authentication control (Điều khiển thẩmđịnh và truy cập ẩn danh), kích Edit 7 Kích chọn hộp kiểm Anonymous access để bật chức năng truy cập ẩn danh Muốn tắt nó, bỏ dấu chọn trong hộp check box là được Chú ý: Nếu muốn tắt chức năng truy cập ẩn danh, bạn phải cấuhình một số dạng truy cập được thẩmđịnh Muốn thay đổi tài khoản dùng cho truy cập ẩn danh tài nguyên này,... loại, kích vào Help Bạn có muốn tiếp tục?) Gõ tên khu vực vào hộp Realm Chú ý: Bạn phải cấuhình tài khoản người dùng với tùy chọn Store password using reversible encryption (lưu trữ mật khẩu dùng thuật mã hóa đảo ngược) 10 Kích chọn hộp kiểm Basic authentication (password is sent in clear text) nếu muốn sử dụng thẩmđịnh cơ sở Khi nhận được thông báo sau, kích vào Yes: The authentication option you have .
Cấu hình thẩm định Web Internet Information
Services trên Windows Server 2003
Bài này sẽ hướng dẫn từng bước cách cấu hình thẩm định yêu. Properties:
• Để cấu hình thẩm định cho tất cả nội dung Web nằm trên IIS server, kích phải
chuột lên Web Sites.
• Để cấu hình thẩm định cho một website riêng,