Configuración de la Autenticación en IIS
Anuncio
ADMINISTRACIÓN DE SERVICIOS DE INTERNET (IFCT0509) Práctica Configuración de la Autenticación en IIS OBJETIVOS Establecer en el sistema los permisos de acceso de usuarios necesarios. Describir los mecanismos de autenticación de usuarios y de acceso a los contenidos e implantarlos en el sistema. Métodos de autenticación para el servidor web IIS Autenticación es el proceso por el cual se identifica el usuario que está haciendo la petición en servidor web. Con ello, podemos permitir o denegar la petición sobre todo o partes de los recursos o aplicaciones. Autenticación Anónima La autenticación anónima, permite a los clientes acceder a áreas públicas de nuestra web, sin requerir que el cliente provea ninguna acreditación. La autenticación anónima por defecto está habilitada en IIS. Autenticación Básica Esta autenticación implementa el protocolo de autenticación Básica, un estándar de HTTP el cual es soportado por la mayoría de navegadores existentes. Permite que un cliente transmita un nombre de usuario y su contraseña en texto plano, después usa esas credenciales para validarse localmente en el servidor web. Por tanto, las credenciales deben corresponder con una cuenta de usuario válida. Esta autenticación está basada en un esquema llamado “desafío respuesta”, cuando un cliente hace la petición inicial sobre un recurso sobre el que está habilitado la autenticación básica, la petición será rechazada con un código de vuelta 401, Unauthorized Status, si el cliente soporta el mecanismo de autenticación básica, el navegador pedirá el uso de credenciales para esa petición enviando las credenciales de nuevo. Autenticación Digest Implementa el protocolo Digest Authentication, utilizado para la autenticación estándar para HTTP. A diferencia de la autenticación básica, el cliente envía un MD5 hash del nombre de usuario y la password al servidor por lo que los verdaderos nombre de usuario y contraseña no son enviados nunca por la red y por eso se considera un método de intercambio de claves seguro. Al igual que la básica, es un protocolo “desafío respuesta”, con lo que seguirá el mismo esquema de petición de un usuario válido cuando solicitemos acceso a un área habilitada con este mecanismo de autenticación. ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 1 ADMINISTRACIÓN DE SERVICIOS DE INTERNET (IFCT0509) Autenticación Windows Permite a los clientes Windows validarse con dos protocolos, NTLM (NT LAN Manager) o Kerberos. Es la mejor elección para Intranet, puesto los dos son protocolos nativos implementados por el directorio activo de Windows para la validación de usuarios. Kerberos será usado por defecto a no ser que el cliente de Windows sea antiguo y no lo soporte, con lo que usaría NTLM. Para su uso como método de autenticación en Internet, no está recomendado, pues puede traer muchos problemas ya que se necesita configurado un directorio activo, no admite Proxies HTTP y además Kerberos necesita una configuración específica que para entornos de Internet no es nada operativa. Configuración de la Autenticación Básica en IIS 1. Primero necesitamos crear un usuario y contraseña, para ello tenemos que ir a Usuarios y equipos de Active Directory → Usuarios → Nuevo usuario. 2. Ahora tendremos que dar permisos en la zona que queramos habilitar el acceso con autenticación básica al usuario que hemos creado anteriormente. La zona a habilitar será una carpeta del sitio web. Seleccionamos la carpeta del sitio → Editar permisos → Seguridad → Editar → Agregar (añadimos el usuario creado anteriormente y elegimos los permisos que necesitemos). ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 2 ADMINISTRACIÓN DE SERVICIOS DE INTERNET (IFCT0509) Práctica Para poder habilitar la autenticación básica en nuestro site, tenemos que añadir un nuevo servicio de Rol en nuestro IIS, Basic Authentication. ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 3 ADMINISTRACIÓN DE SERVICIOS DE INTERNET (IFCT0509) 3. Ahora toca habilitar la carpeta, site o Servidor para que requiera autenticación básica. En nuestro caso habilitamos únicamente una carpeta. ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 4 ADMINISTRACIÓN DE SERVICIOS DE INTERNET (IFCT0509) Práctica 4. Por último, probamos nuestra configuración sobre la carpeta en cuestión introduciendo las credenciales creadas anteriormente (nombre de usuario y contraseña). Para completar la configuración de la autenticación en IIS, repite los pasos anteriores para controlar el acceso de los usuarios sólo a una carpeta del site. Configuración de la Autenticación Digest en IIS 1. Al igual que en caso de la autenticación básica (pasos 1 y 2) necesitamos crear un usuario y darle permisos sobre la carpeta que vamos a implementar Digest. 2. Tenemos que añadir un nuevo servicio de Rol en nuestro IIS, Digest Authentication. 3. Ahora toca habilitar la carpeta, site o servidor para que requiera autenticación Digest. En nuestro caso habilitamos únicamente una carpeta. 4. Probamos nuestra configuración sobre la carpeta en cuestión. Configuración de la Autenticación Windows en IIS 1. Al igual que en los casos anteriores (pasos 1 y 2) necesitamos crear un usuario y darle permisos sobre la carpeta que vamos a implementar Windows Authentication. 2. Tenemos que añadir un nuevo servicio de Rol en nuestro IIS, Windows Authentication. 3. Ahora toca habilitar la carpeta, site o servidor para que requiera autenticación Digest. 1. En nuestro caso habilitamos únicamente una carpeta. 4. Probamos nuestra configuración sobre la carpeta en cuestión. ADMINISTRACIÓN DE SERVICIOS DE INTERNET / Ezequiel Llarena Borges 5
