|
Az IIS 5.0 több hitelesítési eljárást támogat, ezeket két fő csoportra oszthatjuk: Web és FTP.
Nézzük először a webes hitelesítési eljárásokat:
Beállításuk az Internet szolgáltatáskezelőben a webhely Tulajdonságok > Könyvtárbiztonság > Szerkesztés oldalon történik.
Névtelen (Anonymous) hitelesítés:
A "Hitelesítési módszerek" oldalon a "Névtelen hozzáférés" alatt található.
A bevezetőben említettünk, hogy az IIS minden felhasználótól elvárja, hogy azonosítsa magát, az Internet viszont teljesen névtelen. A kapcsolat mégis létrejön és megtekinthetjük az adott weblapokat anélkül, hogy jelszót vagy felhasználói nevet adnánk meg. Valójában nincs ebben semmilyen ellentmondás, csak bizonyos folyamatok rejtve maradnak előttünk. Létezik egy IUSR_szervernév fiók, ami a rendszer installálás során keletkezik. A szervernév az IIS-t futtató szerver gépneve. Minden befutott kérés alkalmával a felhasználó hozzárendelődik ehhez a névhez és generálódik számára egy véletlen jelszó. Ez a párosítás nem alkalmas a Windows erőforrásainak az elérésére. Ezért a hitelesítési eljárást rá kell bíznunk az IIS-re, amely egy saját szubautentikációs DLL-t (IISSUBA.DLL) használva lekezeli, majd közli a Windows-al az érvényes bejelentkezést. Ugyanakkor, ha a jelszó kezelést kivesszük az IIS kezéből, - a Névtelen hozzáférés > Szerkesztés > Az IIS kezeli a jelszót előtti jelölőnégyzet üresen hagyásával - akkor érvényes Windows felhasználói név / jelszó párost kell megadnunk a webhely eléréséhez. Az IUSR_szervernév fiók a rendszerben a "Vendégek" csoporthoz tartozik és jogosultságait a fájlok és mappák eléréséhez az NTFS engedélyek határozzák meg.
Alapfokú (Basic) hitelesítés:
A "Hitelesítési módszerek" oldalon az "Alapfokú hitelesítés" alatt található.
Része a HTTP 1.0 szabványnak, ezért a legtöbb böngésző támogatja. Egy felhasználói név / jelszó párost kér a bejelentkezni szándékozótól. Ezt úgy teszi, hogy a böngésző megjelenít egy párbeszédpanelt és mindaddig a képernyőn hagyja, amíg nem érkezik egy érvényes bejelentkezés vagy ki nem lép a felhasználó a panelből. Ez nyitva hagyja a lehetőséget a korlátlan kísérletezésre. A felhasználónak az adott szerveren megfelelő jogosultságokkal és érvényes felhasználói fiókkal kell rendelkeznie a belépéshez. Ez az eljárás nem tekinthető biztonságosnak, mert a jelszót titkosítás nélkül küldi tovább a hálózaton. A szerkesztésre kattintva meghatározhatjuk azt a tartományt, amelyikbe a bejelentkezés megtörténik, ennek nem feltétlenül kell helyinek lennie. Ettől kezdve az adott tartományban érvényes jogok határozzák meg a bejelentkező lehetőségeit.
Digest - Üzenetkivonatos hitelesítés:
A "Hitelesítési módszerek" oldalon a "Windows tartománykiszolgálók üzenetkivonatos azonosítása" alatt található.
Használata az alapfokú hitelesítésénél sokkal nagyobb biztonságot eredményez. Ez egy "későbbi" hitelesítési eljárásnak tekinthető csak az Internet Explorer 5.0-tól kezdve jelent meg. A felhasználói nevet és jelszót erős kódolással továbbítja a hálózaton. A Windows 2000 szervernek tartományvezérlőnek kell lennie és a felhasználónak a törzslapján be kell állítani a "Jelszó tárolása visszafejthető titkosítással" jelölőnégyzetet.
További előnye, hogy tűzfalakon és proxy kiszolgálókon keresztül is működik.
Beépített Windows hitelesítés:
A "Hitelesítési módszerek" oldalon a "Beépített Windows hitelesítés" alatt található.
Az alapfokú hitelesítésnél magasabb biztonsági szinttel rendelkezik. Szintén felhasználói név / jelszó párost kér. Az Internet Explorer 2.0-tól kezdve használható. Nem működik tűzfalakon és proxy-n keresztül. Tartományba lehet bejelentkezni vele, ezért Intranetekben használható hatásosan, ahol a felhasználók rendelkeznek tartományi jogokkal. Egy fontos jellemzője, hogy nincs minden HTTP kérésnél hitelesítés, csak ha olyan kérések történnek, amelyekhez nem megfelelőek a korábbi jogok.
Bizonyítvány szolgáltatások:
A webhely Könyvtárbiztonság > Biztonságos kommunikáció > Kiszolgáló bizonyítványa alatt található.
A kiszolgáló és az ügyfél között az SSL (Secure Sockets Layer) protokollal történik a kommunikáció. Ez biztonságosnak tekinthető, ezért gyakran használják pénzügyi vonatkozású tranzakciók (pl. Interneten keresztüli vásárlás) lebonyolítására. Kétféle bizonyítvány létezik, az egyik amelyikkel a kiszolgáló azonosítja magát, ez a "Kiszolgálói bizonyítvány". A másikkal pedig a felhasználó azonosítása történik meg, ez pedig az "Ügyfél bizonyítvány". Ezek a bizonyítványok egy hitelesítési szervtől szerezhetők be. Felhasználási területüktől függően, különböző eljárásokon kell átesni egy ilyen bizonyítvány megszerzéséhez (pl. közjegyzői jelenlét az adatok megadásánál stb.). A rendszer a nyilvános kulcsú hitelesítést alkalmazza és az SSL bővítéseként rendelkezik egy erős, 128 bites titkosítással (SGC), amellyel a pénzintézetek is végzik a tranzakcióikat. A "Kiszolgáló bizonyítványa" nyomógombra kattintva egy varázsló végigvezet minket egy kérdéssoron, ahol meg kell adnunk a kiszolgálói bizonyítvány igényléséhez szükséges adatokat (ennek eredményeként keletkezik egy szöveges fájl). Ezeket elektronikus úton elküldve eljutattuk kérésünket a megfelelő szervhez. Ha megkaptuk a választ, ugyanezzel a varázslóval telepíthetjük a bizonyítványt a kiszolgálónkra.
Most nézzük meg milyen FTP hitelesítési eljárások vannak:
Beállításuk az Internet szolgáltatáskezelőben az FTP-hely Tulajdonságok > Biztonsági fiókok oldalon történik.
Névtelen (Anonymous) hitelesítés:
A "Névtelen kapcsolatok engedélyezése" alatt történik. A webes névtelen hitelesítésnél elmondottak érvényesek az FTP névtelen hitelesítésre is. Annyi különbséggel, hogy a beérkező kérések közül a szerver azt veszi névtelennek, ahol a felhasználói név: " Anonymous" és a jelszó a felhasználó e-mail címe (erre vonatkozóan nem történik ellenőrzés).
Alapfokú (Basic) hitelesítés:
A webes alapfokú hitelesítéssel egyenértékű. Alkalmazása úgy történik, hogy a "Névtelen kapcsolatok engedélyezése" előtti jelölőnégyzetet üresen kell hagyni. Érvényes Windows felhasználói fiók szükséges az erőforrások eléréséhez.
További lehetőségek:
Az ISAPI, ASP, COM technológiával lehetőségünk nyílik saját egyéni hitelesítési modell kialakítására is. Ezek közül az ISAPI használható legkönnyebben ilyen célra.
A saját modell kialakításának előnye a rugalmasság, az hogy több különböző környezetbe beilleszthető. Hátránya, hogy nincs széleskörű támogatottsága és a Windows nem biztos, hogy segítséget tud nyújtani a működtetésében.
Fontos és elengedhetetlen védelmi mód az NTFS fájlbiztonsági jogok használata is. Bár ez már a hitelesítési eljárások utáni második lépcsőfok.
|