4.4 Аутентификация и система разрешений Internet Information Server: стандартные средства и средства третьих фирм

4.4.1 Аутентификация стандартными средствами IIS

Стандартные возможности аутентификации Internet Information Server (IIS), анонимный доступ, методы аутентификации, учетная запись IUSR_

Большая часть серверов IIS работает без требований к пользователю аутентифицироваться - то есть в режиме анонимного доступа. На самом деле такие анонимные пользователи работают от имени специальной учетной записи IUSR_имя_компьютера. Конечно же, настоятельно не рекомендуется использовать эту учетную запись для каких-то других целей, добавлять ее в другие группы (кроме группы Guests), в которой эта учетная запись находится по умолчанию и т.п.

Однако в некоторых ситуациях анонимным доступом не обойтись. Обычно аутентификация требуется в двух случаях:

1) когда на Web-сервере находятся ресурсы, доступ к которым нужен не всем пользователям (проще говоря, чтобы задействовать систему разрешений);

2) для целей дополнительного протоколирования - чтобы можно было записывать информацию о том, какие именно пользователи обращались к ресурсам Web-сайта (во многих ситуациях, например в локальной сети, в этом случае можно обойтись без аутентификации - поскольку текущее имя пользователя автоматически записывается в логи Web-сервера).

Аутентификация в IIS, к сожалению, полностью основывается на системе безопасности Windows. Фактически мы можем предоставить доступ только тем пользователям, для которых у нас создана локальная учетная запись (или доменная учетная запись, если компьютер с IIS входит в домен). Конечно, по этой причине доступ на IIS со стандартными средствами можно предоставлять только пользователям локальной сети (или, например, очень ограниченному числу внешних партнеров). Рассчитывать на организацию системы аутентификации для пользователей из Интернета стандартными средствами не приходится (поскольку для каждого пользователя учетную запись Windows не создашь). Обычно для таких целей используются или самостоятельно созданные Web-приложения, или специальные надстройки на IIS, которые обеспечивают отдельную, независимую от Windows систему аутентификации. Ниже будет рассмотрены стандартные возможности аутентификации, а затем - дополнительные средства других производителей.

Настройку аутентификации стандартными методами предписывается производить из консоли Internet Information Services Manager -> свойства Web-сайта -> вкладка Directory Security -> кнопка Edit в группе Authentification and Access Control. При нажатии на эту кнопку открывается окно Authentification Method, в котором и производятся настройки параметров аутентификации. В этом окне вы можете:

• разрешить или запретить анонимный доступ на Web-сайт и выбрать учетную запись, которая будет использована для этой цели;
• выбрать методы аутентификации, которые могут быть использованы для доступа на Web-сервер.

О методах аутентификации необходимо рассказать подробнее:

• Integrated Windows Authentification - единственный метод (кроме анонимного доступа), доступный по умолчанию. При использовании этого метода используются те же хэши NTLM (или Kerberos - negotiate для Windows 2000/XP/2003), что и при обычной аутентификации в Windows (например, при обращении к файлам на файл-сервере). Конечно, ни один броузер, кроме Internet Explorer, такой аутентификации не поддерживает. Необходимо отметить, что, если прав учетной записи IUSR недостаточно (или анонимный доступ вообще отключен) следующее, что делает Internet Explorer - отсылает NTLM-хэш (его версия зависит от версии операционной системы) текущей учетной записи на сервер IIS. Если аутентификация не прошла (или прошла, но у учетной записи не оказалось прав на Web-ресурс), то открывается всплывающее окно аутентификации, в котором пользователь имеет возможность ввести данные другой учетной записи;
• Digest Authentification - сравнительно новая технология (появилась только в Windows 2000/IIS5.0), основанная на открытых Интернет-стандартах (алгоритм хэширования MD5 и RFC 2617). При использовании этого метода аутентификации сервер посылает специальную случайную последовательность символов - nonce - клиенту (для каждого сеанса она будет сгенерирована заново). Клиент принимает эту последовательность, на основе ее и своего пароля генерирует хэш по алгоритму MD5 и пересылает ее серверу. Сервер, который производит такую же операцию и сравнивает полученные значения. Главной проблемой применения этого метода аутентификации является то, что IIS должен получить доступ к открытым паролям пользователей, которых по умолчанию нет и на контроллерах домена. Таким образом, чтобы этот метод аутентификации заработал, необходимо для учетных записей пользователей установить параметр "Store password using reversible encryption", что обычно в защищенных сетях недопустимо.
• Basic Authentification - самый простой тип аутентификации, который поддерживается практически всеми броузерами. При этом имя пользователя и пароль посылаются почти открытым текстом (на самом деле они кодируются, во избежание попадания служебных символов, по алгоритму Base64). Те менее, конечно, расшифровать эти данные не составит никакого труда - например, при помощи утилиты Base 64 Decoder (она умеет декодировать и некоторые другие форматы) из каталога прочее на компакт-диске. Поскольку передаются таким образом на самом деле имя и пароль учетной записи Windows, то последствия могут оказаться очень серьезными (если в сети запущен сниффер). Безопасно пользоваться этим методом аутентификации можно только при использовании SSL.
• .NET Passport authentification - возможность использовать для аутентификации централизованную систему .NET Passport от Microsoft. Не совсем понятно, зачем эта возможность помещена на графический интерфейс IIS Manager - использовать эту возможность могут только участники программы .NET Passport, фактически - очень ограниченный круг крупных Web-коммерсантов. Существует и множество других ограничений при использовании .NET Passport.

Есть и другие методы аутентификации, например, при помощи клиентских сертификатов (этот метод сертификации настраивается при помощи Edit в разделе Secure Certifications и о нем будет рассказано ниже), при помощи серверов RADIUS и смарт-карт, но обычно последние два способа используются в составе комплексных решений для очень защищенных Web-сайтов.

Еще несколько слов об служебных учетных записях и группах, имеющих отношение к IIS:

• IUSR_имя_компьютера - об этой учетной записи уже говорилось, она предназначена для обеспечения анонимного доступа на сервер IIS и никаких дополнительных прав ей предоставлять не рекомендуется;
• IWAM_имя_компьютера - еще одна гостевая учетная запись, которой не нужно давать лишние права. От имени этой учетной записи запускаются внешние процессы, порождаемые процессом INETINFO (то есть процессом Web-сервера). Иногда для работы Web0-приложения этой учетной записи необходимо предоставить дополнительные права, например, на запись в каталог.
• IIS_WPG - эта группа предназначена для предоставления прав в операционной системе приложениям CGI и ASP.NET, работающим на Web-сервере. Если у вас таких приложений нет, выдавать какие-либо разрешения этой группе не нужно.
• ASPNET - как понятно из названия, эта учетная запись используется приложениями ASP.NET, работающими на сервере IIS. Если у вас не используется ASP.NET (не установлена как компонент IIS), то этой учетной записи не будет. Этой учетной записи нужно предоставлять права, например, если приложению ASP.NET необходимо подключаться к SQL Server.

При помощи группы переключателей IP address and domain name restrictions можно также ограничить доступ к сайту по IP-адресам, целым IP-сетям или именам доменов DNS. Обычно такие возможности используются только в Интранет Web-серверах.

Получить учебные материалы по этому курсу