Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003

Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003 Bài này sẽ hướng dẫn từng bước cách cấu hình thẩm định yêu cầu dựa trên nền tảng Web trong Microsoft Internet Information Services (IIS) 6.0. Quá trình thẩm định Web diễn ra như thế nào Thẩm định Web là hoạt động truyền thông giữa Web brower (trình duyệt web trên máy khách) và Web server (trình chủ web) với một số lượng nhỏ header và thông báo lỗi Hypertext Transfer Protocol (giao thức truyền tải siêu văn bản). Các bước truyền thông bao gồm: 1. Web browser tạo một yêu cầu, chẳng hạn như HTTP-GET. 2. Web server thực hiện kiểm tra thẩm định. Nếu quá trình thẩm định không thành công, Server trả lời bằng một thông báo lỗi, tương tự như: You are not authorized to view this page You do not have permission to view this directory or page using the credentials you supplied. (Quá trình thẩm định không thành công. Bạn không được quyền xem thư mục hay trang này với các thông tin thẩm định cung cấp). 3. Web browser dùng trả lời của server để xây dựng yêu cầu mới chứa các thông tin thẩm định. 4. Web server kiểm tra lại thẩm định. Nếu thẩm định thành công, Web server gửi dữ liệu được yêu cầu ban đầu tới Web browser. Các phương thức thẩm định Chú ý: Với một số phương thức thẩm định sau, bạn phải dùng ổ đĩa có kiểu định dạng file hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất. IIS hỗ trợ các phương thức thẩm định sau: Thẩm định ẩn danh IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server đang chạy IIS) để thẩm định người dùng ẩn danh khi họ yêu cầu nội dung Web. Tài khoản này cung cấp cho người dùng quyền đăng nhập cục bộ. Bạn có thể thiết lập lại quyền truy cập người dùng ẩn danh để sử dụng bất kỳ tài khoản Windows hợp lệ nào. Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục ảo hay thư mục vật lý và cho cả các file. Nếu máy tính sử dụng Windows Server 2003 là máy chủ độc lập, tài khoản IUSR_ComputerName nằm trên server cục bộ. Nếu server là một domain controller, tài khoản IUSR_ComputerName được định nghĩa cho domain. Thẩm định cơ bản Sử dụng phương thức thẩm định cơ bản để giới hạn truy cập file trên Web server định dạng NTFS. Với kiểu thẩm định cơ bản, người dùng phải nhập thông tin thẩm định và quyền truy cập dựa trên ID người dùng (user ID). Cả user ID và password đều được gửi qua mạng theo dạng văn bản thuần túy. Để dùng thẩm định cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập cục bộ. Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng nhóm theo quyền truy cập các file cần thiết. Chú ý: Thông thường thông tin thẩm định người dùng được mã hóa bằng chương trình Base64. Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa. Vì thế thẩm định cơ bản không được xem là cơ chế thẩm định an toàn. Thẩm định tích hợp sẵn trên Windows Thẩm định tích hợp trên Windows an toàn hơn thẩm định cơ bản và hoạt động tốt trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain. Trong thẩm định tích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông tin thẩm định của người dùng hiện thời đăng nhập trên domain. Nếu cố gắng này thất bại, người dùng mới được nhắc nhập username, password. Khi sử dụng thẩm định tích hợp trên Windows, mật khẩu của người dùng không phải truyền tới server. Nếu người dùng đăng nhập vào máy tính cục bộ như một domain user, user không bị thẩm định lại khi truy cập máy tính nối mạng trong domain đó. Chú ý là bạn phải dùng trình duyệt Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn có cơ chế thẩm định tích hợp sẵn. Chú ý: Bạn không thể dùng thẩm định tích hợp sẵn trên Windows qua một proxy server. Thẩm định phân loại Thẩm định phân loại khắc phục được nhiều nhược điểm của thẩm định cơ bản. Mật khẩu sẽ không bị gửi đi theo dạng văn bản thuần túy. Hơn nữa bạn có thể dùng thẩm định phân loại qua một proxy server. Thẩm định phân loại sử dụng cơ chế challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở thẩm định tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua mạng. Để dùng thẩm định phân loại, chú ý các yêu cầu tiên quyết sau: • User và IIS server phải là thành viên, hoặc được ủy thác trên cùng một domain. • User phải có tài khoản người dùng Windows hợp lệ lưu trữ trong Active Directory trên domain controller. • Domain phải dùng domain controller dựa trên Microsoft Windows 200 hoặc mới hơn. • Bạn phải cài file IISSuba.dll trên domain controller. File này được sao chép tự động trong quá trình cài đặt Windows 2000 hoặc Windows Server 2003. • Bạn phải cấu hình tất cả tài khoản người dùng sử dụng tùy chọn Store password using reversible encryption (Lưu trữ mật khẩu dùng mã hóa đảo ngược). Muốn sử dụng tùy chọn tài khoản này, mật khẩu phải được thiết lập lại hoặc được nhập lại. Chú ý: Muốn dùng mã hóa phân loại bạn phải sử dụng phiên bản Microsoft Internet Explorer từ 5.0 trở lên làm trình duyệt Web. Thẩm định .NET Passport Microsoft .NET Passport là dịch vụ thẩm định người dùng cho phép bảo mật đăng nhập đơn, cung cấp cho người dùng quyền truy cập bảo mật nâng cao các website và dịch vụ hỗ trợ .NET Passport. Website hỗ trợ .NET Passport dựa trên server trung tâm .NET Passport để thẩm định tư cách người dùng. Tuy nhiên server trung tâm không cho phép hay từ chối truy cập của một người dùng cụ thể tới website hỗ trợ .NET Passport riêng lẻ. Mỗi website sẽ có trách nhiệm điều khiển quyền hạn của người dùng. Khi bạn dùng tùy chọn này, yêu cầu tới IIS phải chứa thông tin thẩm định .NET Passport hợp lệ trên hoặc là xâu truy vấn, hoặc là trong cookie. Nếu IIS không tìm ra được thông tin thẩm định .NET Passport, yêu cầu sẽ được gửi lại tới trang đăng nhập .NET Passport. Ánh xạ chứng chỉ client Ánh xạ chứng chỉ client là phương thức trong đó một bản đối chiếu được tạo ra giữa chứng chỉ và tải khoản người dùng. Trong mô hình này, người dùng đưa ra một chứng chỉ và hệ thống nhìn vào bản đối chiếu để đối chiếu xem tài khoản người dùng nào sẽ được đăng nhập. Bạn có thể ánh xạ chứng chỉ với tài khoản người dùng Windows bằng một trong hai cách: • Sử dụng Active Directory • Hoặc sử dụng các quy tắc được định nghĩa trong IIS. Để biết thêm thông tin về cách ánh xạ chứng chỉ client với tài khoản người dùng, bạn có thể tìm phần “Client Certificate Mapping” trên tài liệu hướng dẫn của IIS. Nếu đã cài IIS, bạn có thể truy cập các file Help hoặc sử dụng các phương thức sau: • Kích phải chuột lên một nút nào đó trong Internet Service Manager, sau đó chọn Help. • Khởi động Windows Explorer, xác định vị trí thư mục: tên_ổ_cứng:\Windows\Help, sau đó mở file Lismmc.chm. Bạn có thể cấu hình cho từng phương thức thẩm định điều khiển truy cập tới các đối tượng sau trên IIS server: • Tất cả nội dung Web nằm trên IIS Server. • Các website riêng nằm trên IIS Server. • Các thư mục ảo hoặc thư mục vật lý riêng nằm trên website. • Các trang hoặc file riêng trên một website. Cấu hình thẩm định website IIS như thế nào 1. Sử dụng tài khoản quản trị viên đăng nhập vào Web Server. 2. Khởi động IIS Manager hoặc mở snap-in IIS. 3. Mở rộng Server_name, trong đó Server_name là tên của server; mở rộng phần Web Sites. 4. Sử dụng một trong các phương thức sau (phù hợp với trường hợp cụ thể của bạn), sau đó kích Properties: • Để cấu hình thẩm định cho tất cả nội dung Web nằm trên IIS server, kích phải chuột lên Web Sites. • Để cấu hình thẩm định cho một website riêng, kích phải chuột lên website bạn muốn. • Để cấu hình thẩm định cho thư mục ảo hay thư mục vật lý trong một website, kích vào website, sau đó kích phải chuột lên thư mục muốn thiết lập, chẳng hạn như _vti_pvt. • Để cấu hình thẩm định cho một trang hay file riêng trong website, kích vào website, sau đó kích vào thư mục chứa file hoặc trang web và bấm chuột phải lên chúng. 5. Trong hộp thoại ItemName Properties (ItemName là tên đối tượng bạn chọn), ấn vào tab Directory Security hoặc File Security (tùy vào trường hợp cụ thể để lựa chọn cho thích hợp). 6. Dưới nhãn Anonymous access and authentication control (Điều khiển thẩm định và truy cập ẩn danh), kích Edit. 7. Kích chọn hộp kiểm Anonymous access để bật chức năng truy cập ẩn danh. Muốn tắt nó, bỏ dấu chọn trong hộp check box là được. Chú ý: Nếu muốn tắt chức năng truy cập ẩn danh, bạn phải cấu hình một số dạng truy cập được thẩm định. Muốn thay đổi tài khoản dùng cho truy cập ẩn danh tài nguyên này, kích vào Browse, chọn tài khoản người dùng muốn sử dụng, sau đó ấn OK. 8. Dưới nhãn Authenticated access (truy cập được thẩm định), kích chọn hộp kiểm Windows Integrated authentication nếu bạn muốn sử dụng cơ chế thẩm định tích hợp sẵn trên Windows. Chú ý: Phương thức thẩm định này trước đây được biết đến dưới hình thức Challenge/Response hay NT LAN Manager (NTLM) trong Microsoft Windows NT. 9. Kích chọn hộp kiểm Digest authentication for Windows domain servers nếu muốn sử dụng cơ chế thẩm định phân loại. Khi nhận được thông báo sau, kích vào Yes. “Digest authentication only works with Active Directory domain accounts. For more information about configuring Active Directory domain accounts to allow digest authentication, click Help. Are you sure you wish to continue?”. (Thẩm định phân loại chỉ làm việc với các tài khoản domain Active Directory. Để biết thêm thông tin về cách cấu hình tài khoản miền Active Directory cho phép sử dụng thẩm định phân loại, kích vào Help. Bạn có muốn tiếp tục?). Gõ tên khu vực vào hộp Realm Chú ý: Bạn phải cấu hình tài khoản người dùng với tùy chọn Store password using reversible encryption (lưu trữ mật khẩu dùng thuật mã hóa đảo ngược). 10. Kích chọn hộp kiểm Basic authentication (password is sent in clear text) nếu muốn sử dụng thẩm định cơ sở. Khi nhận được thông báo sau, kích vào Yes: The authentication option you have selected results in passwords being transmitted over the network without data encryption. Someone attempting to compromise your system security could use a protocol analyzer to examine user passwords during the authentication process. For more detail on user authentication, consult the online help. This warning does not apply to HTTPS (or SSL) connections. Are you sure you want to continue? (Tùy chọn thẩm định bạn chọn truyền mật khẩu qua mạng mà không mã hóa dữ liệu. Một người nào đó muốn phá hoại bảo mật hệ thống có thể dùng chương trình phân tích giao thức để kiểm tra mật khẩu người dùng trong quá trình thẩm định. Để biết thêm thông tin về thẩm định người dùng, tham khảo ở hệ thông tư vấn trực tuyến. Cảnh báo này không áp dụng cho các kết nối HTTPS (hay SSL)). Bạn có muốn tiếp tục?) a. Muốn mô tả tên miền dùng cho thẩm định người dùng sử dụng cơ chế thẩm định cơ bản, gõ tên miền vào ô Default domain. b. Ngoài ra còn cần nhập giá trị vào ô Realm. 11. Kích chọn hộp kiểm .NET Passport authentication nếu muốn dùng thẩm định .NET Passport. Chú ý: Khi bạn chọn tùy chọn này, các phương thức thẩm định khác không dùng được. 12. Bấm OK, sau đó trong hộp thoại Item Name Properties, bấm OK tiếp. Nếu hộp thoại Inheritance Overrides, thực hiện các bước sau: a. Bấm Select All để áp dụng các thiết lập thẩm định mới cho toàn bộ file hoặc thư mục trên vị trí đối tượng bạn thay đổi. b. Ấn OK. 13. Thoát IIS Manager hoặc đóng IIS snap-in. Áp dụng cho • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86) • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) • Microsoft Windows Server 2003, Standard Edition (32-bit x86) • Microsoft Windows Server 2003, 64-Bit Datacenter Edition • Microsoft Windows Server 2003, Enterprise x64 Edition • Microsoft Internet Information Services 6.0 • Microsoft Windows Small Business Server 2003 Premium Edition • Microsoft Windows Small Business Server 2003 Standard Edition