Web-серверы по сути своей очень подвержены внешнему воздействию и атакам. Internet Information Services (IIS) version 6, включенный в Windows Server 2003, обладает новыми функциями, призванными улучшить безопасность web-серверов. Одной из таких функций является авторизация URL, работающая совместно с менеджером авторизаций сервера 2003. В данной статье мы разберемся, как авторизация URL используется в IIS 6.0, практические моменты использования в web-службах, и посмотрим, как это улучшает безопасность web-сайтов и служб.
Почему авторизация URL?
Создание web-сайтов преследует несколько целей. Самая популярная из них – предоставить группе людей доступ к информации, необходимой для выполнения их работы, причем доступ быстрый и легкий через стандартный web-браузер из любой точки (дом, офис, автомобиль). Но информация эта не для широкого круга пользователей, и вы не хотите, чтобы все получили доступ к ней только потому, что она находится на web-сервере.
Вот когда авторизация URL вступает в действие. В таких случаях необходим механизм контроля тех, кто может получить доступ к определенному сайту или странице. Существует несколько способов добиться этого, можно, например, установить пароль для получения доступа к странице. Но проблема с заключается в том, что любой человек, узнавший пароль, сможет получить доступ к странице. Более безопасный способ контроля доступа — это привязать его к учетной записи пользователя в домене или организации. Windows Server 2003 позволяет сделать это путем использования авторизации URL и настройки авторизации через менеджер авторизаций. Web-приложения, пописанные в цифровом паспорте ASP.NET, могут использовать авторизацию URL для контроля доступа.
Менеджер авторизаций — утилита Windows Server 2003, используемая для применения администрирования через правила авторизации, которые представляют собой скрипты, необходимые для авторизации пользователей и компьютеров. Роли пользователей основаны на их должностных обязанностях, в то время как роли компьютеров – на функции в сети, например, выполнение функции сервера. Для более подробной информации пройдите по ссылке http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetserv/html/AzManBizRules.asp.
Роли пользователей могут быть определены в запросах Lightweight Directory Access Protocol (LDAP). Объект пользователя будет содержать информацию о пользователе, который может получить доступ через запрос LDAP, и эта информация может быть использована для того, чтобы определить, соответствует ли пользователь критерию, указывающему на эту роль. Например, можно ограничить
Можно также ограничить время доступа к web-странице, создав BizRules. Это динамические правила, представляющие собой скрипты, прикрепляемые к заданиям объектов. Они используются для авторизации пользователей на основе информации, которая действительно только во время действия скрипта, например, день недели или время суток. Скрипты BizRules могут быть написаны на языках VBScript или Jscript, поэтому вы должны быть знакомы с этими языками. BizRules добавляются и редактируются с помощью менеджера авторизаций ММС, который запускается набором команды azman.msc в поле запуска приложения. Для более подробной информации по созданию BizRules и загрузке скрипта в хранилище авторизаций перейдите по ссылке http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetserv/html/AzManBizRules.asp.
При использовании авторизации URL для контроля доступа к web-источникам IIS определяет роль пользователя и принимает решение по авторизации на основе полученной информации. Internet Server Application Programming Interface (ISAPI) является программным приложением, выполняющим данную работу.
Авторизация URL не установлена по умолчанию в IIS 6.0. Сначала необходимо разрешить захватчик ISAPI. Имя файла — Urlauth.dll. Он должен быть разрешен для каждого сайта в отдельности. Обратите внимание на то, что вам необходима локальная административная учетная запись на компьютере с ISS 6.0. Вот что необходимо сделать:
Установки захватчика ISAPI не последний шаг. Далее необходимо установить несколько свойств метабаз для URL. Сделай следующее:
Для установки уровня определения можно использовать значения 0, 1 или 2. 0 означает авторизацию авторизированного клиента, 1 – определение процесса IIS, 2 – анонимной учетной записи пользователя.
Для установки свойств метабаз нужны некоторые знания правил написания скриптов.
Для получения примеров скриптов и более подробного описания порядка настройки авторизации URL в IIS 6.0 пройдите по ссылке http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/maintain/security/AthManWp.asp.
Авторизация URL—одна из новых функций системы безопасности в Internet Information Services 6.0, последней версии программного обеспечения серверов Microsoft, встроенной в Windows Server 2003. Авторизация URL использует менеджер авторизаций для контроля за доступом к web-страницам и приложениям. Если вам необходимо контролировать доступ на основе ролей пользователей, это то что вам нужно.
Источник www.windowsecurity.com