Windows - Az Internet Information Services (IIS) 5.0 hitelesítési eljárásainak bemutatása

IIS 4. rész

Az IIS minden felhasználótól elvárja, hogy azonosítsa magát. Hogy lehet ezt véghezvinni az Internet névtelenségében? Milyen más hitelesítési eljárásokat alkalmazhatunk, ha csak bizonyos személyek számára akarjuk elérhetővé tenni weboldalainkat? Az IIS 5.0 több hitelesítési eljárást támogat, ezeket két fő csoportra oszthatjuk: Web és FTP.

Nézzük először a webes hitelesítési eljárásokat:
Beállításuk az Internet szolgáltatáskezelőben a webhely Tulajdonságok > Könyvtárbiztonság > Szerkesztés oldalon történik.

Névtelen (Anonymous) hitelesítés:
A "Hitelesítési módszerek" oldalon a "Névtelen hozzáférés" alatt található.
A bevezetőben említettünk, hogy az IIS minden felhasználótól elvárja, hogy azonosítsa magát, az Internet viszont teljesen névtelen. A kapcsolat mégis létrejön és megtekinthetjük az adott weblapokat anélkül, hogy jelszót vagy felhasználói nevet adnánk meg. Valójában nincs ebben semmilyen ellentmondás, csak bizonyos folyamatok rejtve maradnak előttünk. Létezik egy IUSR_szervernév fiók, ami a rendszer installálás során keletkezik. A szervernév az IIS-t futtató szerver gépneve. Minden befutott kérés alkalmával a felhasználó hozzárendelődik ehhez a névhez és generálódik számára egy véletlen jelszó. Ez a párosítás nem alkalmas a Windows erőforrásainak az elérésére. Ezért a hitelesítési eljárást rá kell bíznunk az IIS-re, amely egy saját szubautentikációs DLL-t (IISSUBA.DLL) használva lekezeli, majd közli a Windows-al az érvényes bejelentkezést. Ugyanakkor, ha a jelszó kezelést kivesszük az IIS kezéből, - a Névtelen hozzáférés > Szerkesztés > Az IIS kezeli a jelszót előtti jelölőnégyzet üresen hagyásával - akkor érvényes Windows felhasználói név / jelszó párost kell megadnunk a webhely eléréséhez. Az IUSR_szervernév fiók a rendszerben a "Vendégek" csoporthoz tartozik és jogosultságait a fájlok és mappák eléréséhez az NTFS engedélyek határozzák meg.

Alapfokú (Basic) hitelesítés:
A "Hitelesítési módszerek" oldalon az "Alapfokú hitelesítés" alatt található.
Része a HTTP 1.0 szabványnak, ezért a legtöbb böngésző támogatja. Egy felhasználói név / jelszó párost kér a bejelentkezni szándékozótól. Ezt úgy teszi, hogy a böngésző megjelenít egy párbeszédpanelt és mindaddig a képernyőn hagyja, amíg nem érkezik egy érvényes bejelentkezés vagy ki nem lép a felhasználó a panelből. Ez nyitva hagyja a lehetőséget a korlátlan kísérletezésre. A felhasználónak az adott szerveren megfelelő jogosultságokkal és érvényes felhasználói fiókkal kell rendelkeznie a belépéshez. Ez az eljárás nem tekinthető biztonságosnak, mert a jelszót titkosítás nélkül küldi tovább a hálózaton. A szerkesztésre kattintva meghatározhatjuk azt a tartományt, amelyikbe a bejelentkezés megtörténik, ennek nem feltétlenül kell helyinek lennie. Ettől kezdve az adott tartományban érvényes jogok határozzák meg a bejelentkező lehetőségeit.

Digest - Üzenetkivonatos hitelesítés:
A "Hitelesítési módszerek" oldalon a "Windows tartománykiszolgálók üzenetkivonatos azonosítása" alatt található.
Használata az alapfokú hitelesítésénél sokkal nagyobb biztonságot eredményez. Ez egy "későbbi" hitelesítési eljárásnak tekinthető csak az Internet Explorer 5.0-tól kezdve jelent meg. A felhasználói nevet és jelszót erős kódolással továbbítja a hálózaton. A Windows 2000 szervernek tartományvezérlőnek kell lennie és a felhasználónak a törzslapján be kell állítani a "Jelszó tárolása visszafejthető titkosítással" jelölőnégyzetet.
További előnye, hogy tűzfalakon és proxy kiszolgálókon keresztül is működik.

Beépített Windows hitelesítés:
A "Hitelesítési módszerek" oldalon a "Beépített Windows hitelesítés" alatt található.
Az alapfokú hitelesítésnél magasabb biztonsági szinttel rendelkezik. Szintén felhasználói név / jelszó párost kér. Az Internet Explorer 2.0-tól kezdve használható. Nem működik tűzfalakon és proxy-n keresztül. Tartományba lehet bejelentkezni vele, ezért Intranetekben használható hatásosan, ahol a felhasználók rendelkeznek tartományi jogokkal. Egy fontos jellemzője, hogy nincs minden HTTP kérésnél hitelesítés, csak ha olyan kérések történnek, amelyekhez nem megfelelőek a korábbi jogok.

Bizonyítvány szolgáltatások:
A webhely Könyvtárbiztonság > Biztonságos kommunikáció > Kiszolgáló bizonyítványa alatt található.
A kiszolgáló és az ügyfél között az SSL (Secure Sockets Layer) protokollal történik a kommunikáció. Ez biztonságosnak tekinthető, ezért gyakran használják pénzügyi vonatkozású tranzakciók (pl. Interneten keresztüli vásárlás) lebonyolítására. Kétféle bizonyítvány létezik, az egyik amelyikkel a kiszolgáló azonosítja magát, ez a "Kiszolgálói bizonyítvány". A másikkal pedig a felhasználó azonosítása történik meg, ez pedig az "Ügyfél bizonyítvány". Ezek a bizonyítványok egy hitelesítési szervtől szerezhetők be. Felhasználási területüktől függően, különböző eljárásokon kell átesni egy ilyen bizonyítvány megszerzéséhez (pl. közjegyzői jelenlét az adatok megadásánál stb.). A rendszer a nyilvános kulcsú hitelesítést alkalmazza és az SSL bővítéseként rendelkezik egy erős, 128 bites titkosítással (SGC), amellyel a pénzintézetek is végzik a tranzakcióikat. A "Kiszolgáló bizonyítványa" nyomógombra kattintva egy varázsló végigvezet minket egy kérdéssoron, ahol meg kell adnunk a kiszolgálói bizonyítvány igényléséhez szükséges adatokat (ennek eredményeként keletkezik egy szöveges fájl). Ezeket elektronikus úton elküldve eljutattuk kérésünket a megfelelő szervhez. Ha megkaptuk a választ, ugyanezzel a varázslóval telepíthetjük a bizonyítványt a kiszolgálónkra.

Most nézzük meg milyen FTP hitelesítési eljárások vannak:
Beállításuk az Internet szolgáltatáskezelőben az FTP-hely Tulajdonságok > Biztonsági fiókok oldalon történik.

Névtelen (Anonymous) hitelesítés:
A "Névtelen kapcsolatok engedélyezése" alatt történik. A webes névtelen hitelesítésnél elmondottak érvényesek az FTP névtelen hitelesítésre is. Annyi különbséggel, hogy a beérkező kérések közül a szerver azt veszi névtelennek, ahol a felhasználói név: " Anonymous" és a jelszó a felhasználó e-mail címe (erre vonatkozóan nem történik ellenőrzés).

Alapfokú (Basic) hitelesítés:
A webes alapfokú hitelesítéssel egyenértékű. Alkalmazása úgy történik, hogy a "Névtelen kapcsolatok engedélyezése" előtti jelölőnégyzetet üresen kell hagyni. Érvényes Windows felhasználói fiók szükséges az erőforrások eléréséhez.

További lehetőségek:
Az ISAPI, ASP, COM technológiával lehetőségünk nyílik saját egyéni hitelesítési modell kialakítására is. Ezek közül az ISAPI használható legkönnyebben ilyen célra.
A saját modell kialakításának előnye a rugalmasság, az hogy több különböző környezetbe beilleszthető. Hátránya, hogy nincs széleskörű támogatottsága és a Windows nem biztos, hogy segítséget tud nyújtani a működtetésében.

Fontos és elengedhetetlen védelmi mód az NTFS fájlbiztonsági jogok használata is. Bár ez már a hitelesítési eljárások utáni második lépcsőfok.


Az IIS alapjai cikksorozat