Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003
b. Ấn OK. 13. Thoát IIS Manager hoặc đóng IIS snap-in.
Bạn đang xem nội dung tài liệu Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Cấu hình thẩm định Web Internet Information
Services trên Windows Server 2003
Bài này sẽ hướng dẫn từng bước cách cấu hình thẩm định yêu cầu dựa trên nền
tảng Web trong Microsoft Internet Information Services (IIS) 6.0.
Quá trình thẩm định Web diễn ra như thế nào
Thẩm định Web là hoạt động truyền thông giữa Web brower (trình duyệt web trên
máy khách) và Web server (trình chủ web) với một số lượng nhỏ header và thông
báo lỗi Hypertext Transfer Protocol (giao thức truyền tải siêu văn bản).
Các bước truyền thông bao gồm:
1. Web browser tạo một yêu cầu, chẳng hạn như HTTP-GET.
2. Web server thực hiện kiểm tra thẩm định. Nếu quá trình thẩm định không thành
công, Server trả lời bằng một thông báo lỗi, tương tự như:
You are not authorized to view this page
You do not have permission to view this directory or page using the
credentials you supplied.
(Quá trình thẩm định không thành công.
Bạn không được quyền xem thư mục hay trang này với các thông tin thẩm định
cung cấp).
3. Web browser dùng trả lời của server để xây dựng yêu cầu mới chứa các thông
tin thẩm định.
4. Web server kiểm tra lại thẩm định. Nếu thẩm định thành công, Web server gửi
dữ liệu được yêu cầu ban đầu tới Web browser.
Các phương thức thẩm định
Chú ý: Với một số phương thức thẩm định sau, bạn phải dùng ổ đĩa có kiểu định
dạng file hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất.
IIS hỗ trợ các phương thức thẩm định sau:
Thẩm định ẩn danh
IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server
đang chạy IIS) để thẩm định người dùng ẩn danh khi họ yêu cầu nội dung Web.
Tài khoản này cung cấp cho người dùng quyền đăng nhập cục bộ. Bạn có thể thiết
lập lại quyền truy cập người dùng ẩn danh để sử dụng bất kỳ tài khoản Windows
hợp lệ nào.
Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục
ảo hay thư mục vật lý và cho cả các file.
Nếu máy tính sử dụng Windows Server 2003 là máy chủ độc lập, tài khoản
IUSR_ComputerName nằm trên server cục bộ. Nếu server là một domain
controller, tài khoản IUSR_ComputerName được định nghĩa cho domain.
Thẩm định cơ bản
Sử dụng phương thức thẩm định cơ bản để giới hạn truy cập file trên Web server
định dạng NTFS. Với kiểu thẩm định cơ bản, người dùng phải nhập thông tin thẩm
định và quyền truy cập dựa trên ID người dùng (user ID). Cả user ID và password
đều được gửi qua mạng theo dạng văn bản thuần túy.
Để dùng thẩm định cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập
cục bộ. Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng
nhóm theo quyền truy cập các file cần thiết.
Chú ý: Thông thường thông tin thẩm định người dùng được mã hóa bằng chương
trình Base64. Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa.
Vì thế thẩm định cơ bản không được xem là cơ chế thẩm định an toàn.
Thẩm định tích hợp sẵn trên Windows
Thẩm định tích hợp trên Windows an toàn hơn thẩm định cơ bản và hoạt động tốt
trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain.
Trong thẩm định tích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông
tin thẩm định của người dùng hiện thời đăng nhập trên domain. Nếu cố gắng này
thất bại, người dùng mới được nhắc nhập username, password. Khi sử dụng thẩm
định tích hợp trên Windows, mật khẩu của người dùng không phải truyền tới
server. Nếu người dùng đăng nhập vào máy tính cục bộ như một domain user, user
không bị thẩm định lại khi truy cập máy tính nối mạng trong domain đó. Chú ý là
bạn phải dùng trình duyệt Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn
có cơ chế thẩm định tích hợp sẵn.
Chú ý: Bạn không thể dùng thẩm định tích hợp sẵn trên Windows qua một proxy
server.
Thẩm định phân loại
Thẩm định phân loại khắc phục được nhiều nhược điểm của thẩm định cơ bản. Mật
khẩu sẽ không bị gửi đi theo dạng văn bản thuần túy. Hơn nữa bạn có thể dùng
thẩm định phân loại qua một proxy server. Thẩm định phân loại sử dụng cơ chế
challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở thẩm
định tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua
mạng.
Để dùng thẩm định phân loại, chú ý các yêu cầu tiên quyết sau:
• User và IIS server phải là thành viên, hoặc được ủy thác trên cùng một domain.
• User phải có tài khoản người dùng Windows hợp lệ lưu trữ trong Active
Directory trên domain controller.
• Domain phải dùng domain controller dựa trên Microsoft Windows 200 hoặc mới
hơn.
• Bạn phải cài file IISSuba.dll trên domain controller. File này được sao chép tự
động trong quá trình cài đặt Windows 2000 hoặc Windows Server 2003.
• Bạn phải cấu hình tất cả tài khoản người dùng sử dụng tùy chọn Store password
using reversible encryption (Lưu trữ mật khẩu dùng mã hóa đảo ngược). Muốn
sử dụng tùy chọn tài khoản này, mật khẩu phải được thiết lập lại hoặc được nhập
lại.
Chú ý: Muốn dùng mã hóa phân loại bạn phải sử dụng phiên bản Microsoft
Internet Explorer từ 5.0 trở lên làm trình duyệt Web.
Thẩm định .NET Passport
Microsoft .NET Passport là dịch vụ thẩm định người dùng cho phép bảo mật đăng
nhập đơn, cung cấp cho người dùng quyền truy cập bảo mật nâng cao các website
và dịch vụ hỗ trợ .NET Passport. Website hỗ trợ .NET Passport dựa trên server
trung tâm .NET Passport để thẩm định tư cách người dùng. Tuy nhiên server trung
tâm không cho phép hay từ chối truy cập của một người dùng cụ thể tới website hỗ
trợ .NET Passport riêng lẻ. Mỗi website sẽ có trách nhiệm điều khiển quyền hạn
của người dùng. Khi bạn dùng tùy chọn này, yêu cầu tới IIS phải chứa thông tin
thẩm định .NET Passport hợp lệ trên hoặc là xâu truy vấn, hoặc là trong cookie.
Nếu IIS không tìm ra được thông tin thẩm định .NET Passport, yêu cầu sẽ được
gửi lại tới trang đăng nhập .NET Passport.
Ánh xạ chứng chỉ client
Ánh xạ chứng chỉ client là phương thức trong đó một bản đối chiếu được tạo ra
giữa chứng chỉ và tải khoản người dùng. Trong mô hình này, người dùng đưa ra
một chứng chỉ và hệ thống nhìn vào bản đối chiếu để đối chiếu xem tài khoản
người dùng nào sẽ được đăng nhập. Bạn có thể ánh xạ chứng chỉ với tài khoản
người dùng Windows bằng một trong hai cách:
• Sử dụng Active Directory
• Hoặc sử dụng các quy tắc được định nghĩa trong IIS.
Để biết thêm thông tin về cách ánh xạ chứng chỉ client với tài khoản người dùng,
bạn có thể tìm phần “Client Certificate Mapping” trên tài liệu hướng dẫn của IIS.
Nếu đã cài IIS, bạn có thể truy cập các file Help hoặc sử dụng các phương thức
sau:
• Kích phải chuột lên một nút nào đó trong Internet Service Manager, sau đó chọn
Help.
• Khởi động Windows Explorer, xác định vị trí thư mục:
tên_ổ_cứng:\Windows\Help, sau đó mở file Lismmc.chm.
Bạn có thể cấu hình cho từng phương thức thẩm định điều khiển truy cập tới các
đối tượng sau trên IIS server:
• Tất cả nội dung Web nằm trên IIS Server.
• Các website riêng nằm trên IIS Server.
• Các thư mục ảo hoặc thư mục vật lý riêng nằm trên website.
• Các trang hoặc file riêng trên một website.
Cấu hình thẩm định website IIS như thế nào
1. Sử dụng tài khoản quản trị viên đăng nhập vào Web Server.
2. Khởi động IIS Manager hoặc mở snap-in IIS.
3. Mở rộng Server_name, trong đó Server_name là tên của server; mở rộng phần
Web Sites.
4. Sử dụng một trong các phương thức sau (phù hợp với trường hợp cụ thể của
bạn), sau đó kích Properties:
• Để cấu hình thẩm định cho tất cả nội dung Web nằm trên IIS server, kích phải
chuột lên Web Sites.
• Để cấu hình thẩm định cho một website riêng, kích phải chuột lên website bạn
muốn.
• Để cấu hình thẩm định cho thư mục ảo hay thư mục vật lý trong một website,
kích vào website, sau đó kích phải chuột lên thư mục muốn thiết lập, chẳng hạn
như _vti_pvt.
• Để cấu hình thẩm định cho một trang hay file riêng trong website, kích vào
website, sau đó kích vào thư mục chứa file hoặc trang web và bấm chuột phải lên
chúng.
5. Trong hộp thoại ItemName Properties (ItemName là tên đối tượng bạn chọn),
ấn vào tab Directory Security hoặc File Security (tùy vào trường hợp cụ thể để
lựa chọn cho thích hợp).
6. Dưới nhãn Anonymous access and authentication control (Điều khiển thẩm
định và truy cập ẩn danh), kích Edit.
7. Kích chọn hộp kiểm Anonymous access để bật chức năng truy cập ẩn danh.
Muốn tắt nó, bỏ dấu chọn trong hộp check box là được.
Chú ý: Nếu muốn tắt chức năng truy cập ẩn danh, bạn phải cấu hình một số dạng
truy cập được thẩm định.
Muốn thay đổi tài khoản dùng cho truy cập ẩn danh tài nguyên này, kích vào
Browse, chọn tài khoản người dùng muốn sử dụng, sau đó ấn OK.
8. Dưới nhãn Authenticated access (truy cập được thẩm định), kích chọn hộp
kiểm Windows Integrated authentication nếu bạn muốn sử dụng cơ chế thẩm
định tích hợp sẵn trên Windows.
Chú ý: Phương thức thẩm định này trước đây được biết đến dưới hình thức
Challenge/Response hay NT LAN Manager (NTLM) trong Microsoft Windows
NT.
9. Kích chọn hộp kiểm Digest authentication for Windows domain servers nếu
muốn sử dụng cơ chế thẩm định phân loại. Khi nhận được thông báo sau, kích vào
Yes.
“Digest authentication only works with Active Directory domain accounts. For
more information about configuring Active Directory domain accounts to allow
digest authentication, click Help.
Are you sure you wish to continue?”.
(Thẩm định phân loại chỉ làm việc với các tài khoản domain Active Directory. Để
biết thêm thông tin về cách cấu hình tài khoản miền Active Directory cho phép sử
dụng thẩm định phân loại, kích vào Help.
Bạn có muốn tiếp tục?).
Gõ tên khu vực vào hộp Realm
Chú ý: Bạn phải cấu hình tài khoản người dùng với tùy chọn Store password
using reversible encryption (lưu trữ mật khẩu dùng thuật mã hóa đảo ngược).
10. Kích chọn hộp kiểm Basic authentication (password is sent in clear text)
nếu muốn sử dụng thẩm định cơ sở. Khi nhận được thông báo sau, kích vào Yes:
The authentication option you have selected results in passwords being transmitted
over the network without data encryption. Someone attempting to compromise
your system security could use a protocol analyzer to examine user passwords
during the authentication process. For more detail on user authentication, consult
the online help. This warning does not apply to HTTPS (or SSL) connections.
Are you sure you want to continue?
(Tùy chọn thẩm định bạn chọn truyền mật khẩu qua mạng mà không mã hóa dữ
liệu. Một người nào đó muốn phá hoại bảo mật hệ thống có thể dùng chương trình
phân tích giao thức để kiểm tra mật khẩu người dùng trong quá trình thẩm định.
Để biết thêm thông tin về thẩm định người dùng, tham khảo ở hệ thông tư vấn trực
tuyến. Cảnh báo này không áp dụng cho các kết nối HTTPS (hay SSL)).
Bạn có muốn tiếp tục?)
a. Muốn mô tả tên miền dùng cho thẩm định người dùng sử dụng cơ chế thẩm định
cơ bản, gõ tên miền vào ô Default domain.
b. Ngoài ra còn cần nhập giá trị vào ô Realm.
11. Kích chọn hộp kiểm .NET Passport authentication nếu muốn dùng thẩm định
.NET Passport.
Chú ý: Khi bạn chọn tùy chọn này, các phương thức thẩm định khác không dùng
được.
12. Bấm OK, sau đó trong hộp thoại Item Name Properties, bấm OK tiếp. Nếu
hộp thoại Inheritance Overrides, thực hiện các bước sau:
a. Bấm Select All để áp dụng các thiết lập thẩm định mới cho toàn bộ file hoặc thư
mục trên vị trí đối tượng bạn thay đổi.
b. Ấn OK.
13. Thoát IIS Manager hoặc đóng IIS snap-in.
Áp dụng cho
• Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, 64-Bit Datacenter Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Internet Information Services 6.0
• Microsoft Windows Small Business Server 2003 Premium Edition
• Microsoft Windows Small Business Server 2003 Standard Edition
Các file đính kèm theo tài liệu này:
- cau_hinh_tham_dinh_web_internet_information_services_tren_windows_server_2003_2116.pdf