Как авторизация URL повышает безопасность веб-сервера

Опубликовано: 14 Апреля, 2023

Зачем нужна авторизация по URL?


Веб-сайты создаются для самых разных целей. Популярным использованием Интернета (особенно во внутренних сетях) является предоставление группам людей доступа к информации, необходимой для выполнения их работы, быстро и легко через стандартный интерфейс (веб-браузер) из любого места (офис, дом, компьютер). Дорога). Однако эта информация часто является частной или конфиденциальной, и вы не хотите, чтобы любой мог получить к ней доступ только потому, что она находится на веб-сервере.


Вот где вступает в действие авторизация URL. В этих случаях нам нужен механизм для контроля того, кто может или не может получить доступ к определенной веб-странице или сайту. Сделать это можно несколькими способами — например, установив на странице парольную защиту. Проблема этого решения в том, что если посторонний человек обнаружит (или угадает) пароль, он сможет получить доступ к странице. Более безопасный способ управления доступом — привязать его к учетной записи пользователя в домене и/или роли в организации. Windows Server 2003 дает вам способ сделать это, внедрив авторизацию по URL-адресу и настроив аутентификацию на основе ролей с помощью диспетчера авторизации. Веб-приложения, написанные в рамках платформы ASP.NET, могут использовать авторизацию URL-адресов для управления доступом.


Роль менеджера авторизации


Диспетчер авторизации — это служебная программа Windows Server 2003, которая используется для реализации администрирования на основе ролей с помощью правил авторизации, которые представляют собой сценарии, настраивающие параметры для авторизации пользователей или компьютеров для определенных ролей. Роли пользователей обычно основаны на должностных обязанностях пользователей, тогда как роли компьютеров основаны на функциональных возможностях машины в сети (например, веб-сервера). Дополнительные сведения об управлении доступом на основе ролей и диспетчере авторизации см. на странице http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetserv/html/AzManBizRules.asp.


Роли пользователей можно определить в запросах LDAP. Объект пользователя будет содержать информацию о пользователе, к которой можно получить доступ через запрос LDAP, и эту информацию можно использовать для определения того, соответствует ли пользователь критериям, которые определяют его/ее для этой роли. Например, вы можете разрешить доступ к определенной веб-странице только пользователям, работающим в определенном географическом регионе.


Вы также можете ограничить время дня или день (дни) недели, когда пользователи могут получить доступ к веб-странице, создав BizRules. Это динамические бизнес-правила, которые представляют собой просто сценарии, прикрепленные к объектам задач. Они используются для авторизации пользователей на основе информации, доступной только во время выполнения (время, в течение которого запускается сценарий), например время суток или день недели. Сценарии BizRule могут быть написаны на VBScript или Jscript. Для создания BizRules вам необходимо знать один из этих языков сценариев. BizRules добавляются или редактируются с помощью MMC диспетчера авторизации, которую можно открыть, введя azman.msc в поле «Выполнить». Дополнительные сведения о создании BizRules и загрузке сценария в хранилище авторизации см. на странице http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetserv/html/AzManBizRules.asp.


Как работает авторизация URL


Когда вы используете авторизацию по URL-адресу для управления доступом к веб-ресурсам, IIS будет определять роли пользователя и основывать решения по авторизации на этой информации. Программный компонент, который выполняет эту задачу, — это перехватчик интерфейса программирования серверных приложений Интернета (ISAPI).


Как использовать авторизацию URL


Авторизация URL-адресов не включена по умолчанию в IIS 6.0. Чтобы использовать его, вам сначала нужно включить перехватчик ISAPI. Имя файла — Urlauth.dll, и его необходимо включить для каждого отдельного веб-сайта, для которого вы хотите использовать авторизацию по URL-адресу. Обратите внимание, что вам нужна локальная административная учетная запись (или делегированные полномочия) на компьютере с IIS 6.0, чтобы включить перехватчик ISAPI. Вот шаги, необходимые для этого:



  1. Щелкните Пуск | Все программы | Административные инструменты | Информационные службы Интернета.
  2. На левой панели консоли управления IIS разверните Веб-сайты.
  3. Щелкните правой кнопкой мыши веб-сайт, для которого вы хотите использовать авторизацию URL, и выберите «Свойства».
  4. Перейдите на вкладку Домашний каталог. Выберите Конфигурация в настройках приложения.
  5. Щелкните вкладку Сопоставления. Нажмите «Вставить» в разделе «Карты приложений с подстановочными знаками».
  6. В разделе «Добавить/изменить сопоставление расширения приложения» нажмите «Обзор» и перейдите в следующий каталог: Windowssystem32inetsrv.
  7. Выберите urlauth.dll. Щелкните Открыть. Нажмите «ОК».
  8. Вам нужно будет повторить этот процесс для каждого веб-сайта, который будет использовать авторизацию URL.

После включения перехватчика ISAPI вы еще не готовы использовать авторизацию URL. Во-первых, вам нужно установить несколько свойств метабазы для URL-адреса. К ним относятся следующие:



  • AzEnable, чтобы включить авторизацию URL-адреса для этого URL-адреса.
  • AzStoreName, чтобы связать URL-адрес с хранилищем диспетчера авторизации.
  • AzScopeName, чтобы связать URL-адрес с областью действия.
  • AzImpersonationLevel, чтобы настроить веб-приложение для олицетворения пользователя, рабочего процесса IIS или IUSER_. учетная запись

Чтобы установить уровень олицетворения, вы можете выбрать значение 0, 1 или 2. Параметр 0 указывает на аутентификацию аутентифицированного клиента. Значение 1 указывает на олицетворение рабочего процесса IIS. Значение 2 указывает на олицетворение учетной записи анонимного пользователя.


Вам потребуются некоторые навыки написания сценариев, чтобы установить эти свойства метабазы.


Примеры сценариев и подробные пошаговые инструкции по настройке авторизации URL-адресов в IIS 6.0 см. на странице http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/maintain/security/AthManWp..асп.


Резюме


Авторизация URL-адресов — одна из многих новых функций безопасности в Internet Information Services 6.0, последней версии программного обеспечения веб-сервера Microsoft, встроенного в Windows Server 2003. Авторизация URL-адресов использует диспетчер авторизации, чтобы дать вам больше контроля над доступом к веб-страницам и веб-приложениям, чем когда-либо.. Если вам нужно контролировать доступ на основе ролей пользователей, ознакомьтесь с этой важной новой функцией.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023