基于 Windows Server 2003配置IIS站點的身份驗證研究

萬 飛 （長江大學(xué)計算機(jī)科學(xué)學(xué)院，湖北 荊州434023；武漢職業(yè)技術(shù)學(xué)院輕工學(xué)院，湖北 武漢430074）

隨著網(wǎng)絡(luò)信息時代的日益發(fā)展，很多中小企業(yè)在Internet網(wǎng)絡(luò)上建立門戶網(wǎng)站或網(wǎng)絡(luò)信息系統(tǒng)，這樣在Internet網(wǎng)絡(luò)中使用Windows Server系列服務(wù)器架設(shè)的站點越來越多，為了確保站點的可靠性，必須配置合法的身份驗證以便對站點進(jìn)行安全訪問。下面，筆者對基于Windows Server 2003配置信息服務(wù)器 （Internet Information Services，IIS）站點的身份驗證問題進(jìn)行了研究。

1 IIS的安裝

在Windows Server 2003Enterprise操作系統(tǒng)中安裝IIS的操作步驟如下［1］：①打開 “控制面板”→“添加／刪除程序”→ “添加／刪除 Windows組件”，系統(tǒng)經(jīng)過初始化后顯示 Windows組件向?qū)В虎谠赪indows組件向?qū)Ю镞x擇 “應(yīng)用程序服務(wù)器”→ “詳細(xì)信息”→ “Internet信息服務(wù)器 （IIS）”；③點擊確定，系統(tǒng)會提示需要IIS的安裝包路徑，一般使用Windows Server 2003Enterprise安裝光盤即可完成。

2 IIS的身份驗證機(jī)制

1）匿名身份認(rèn)證 如果啟用了匿名訪問，訪問站點時，不要求提供經(jīng)過身份認(rèn)證的用戶憑據(jù)。當(dāng)需要讓用戶公開訪問那些沒有安全要求的信息時，使用該選項最合適。IIS創(chuàng)建IUSR＿Computer Name帳戶 （其中Computer Name是正在運行IIS服務(wù)器的名稱），用來在匿名用戶請求Web內(nèi)容時對他們進(jìn)行身份認(rèn)證。該帳戶授予用戶本地登錄權(quán)限。用戶可以將匿名用戶訪問重置為使用任何有效的Windows帳戶。用戶可以為不同網(wǎng)站、虛擬目錄、物理目錄和文件建立不同的匿名帳戶。如果基于Windows Server 2003的計算機(jī)是獨立服務(wù)器，則IUSR＿Computer Name帳戶位于本地服務(wù)器上。如果該服務(wù)器是域控制器，則IUSR＿Computer Name帳戶是針對該域定義的。

2）基本身份認(rèn)證 使用基本身份認(rèn)證可限制對NTFS格式的Web服務(wù)器上文件的訪問。使用基本身份認(rèn)證，用戶必須輸入憑據(jù)，而且訪問是基于用戶ID的。用戶ID和密碼都以明文形式在網(wǎng)絡(luò)間進(jìn)行發(fā)送。要使用基本身份認(rèn)證，應(yīng)授予每個用戶進(jìn)行本地登錄的權(quán)限；為了使管理更加容易，應(yīng)將每個用戶都添加到可以訪問所需文件的組中。因為用戶憑據(jù)是使用Base64編碼技術(shù)編碼，但其通過網(wǎng)絡(luò)傳輸時不經(jīng)過加密，所以基本身份認(rèn)證是一種不安全的身份認(rèn)證方式。

3）集成Windows身份認(rèn)證 集成Windows身份認(rèn)證比基本身份認(rèn)證安全，而且在用戶具有Windows域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成Windows身份認(rèn)證中，瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù)，如果嘗試失敗，就會提示該用戶輸入用戶名和密碼。如果用戶使用集成Windows身份認(rèn)證，則用戶的密碼將不傳送到服務(wù)器。如果用戶作為域用戶登錄到本地計算機(jī)，則用戶在訪問該域中的網(wǎng)絡(luò)計算機(jī)時不必再次進(jìn)行身份認(rèn)證。集成Windows身份認(rèn)證以Kerberos票證的形式通過網(wǎng)絡(luò)向用戶發(fā)送身份認(rèn)證信息，其安全級別較高。值得注意的是，如果選擇了多個身份認(rèn)證選項，IIS會首先嘗試協(xié)商最安全的方法，然后按可用身份認(rèn)證協(xié)議的列表向下逐個試用其他協(xié)議，直到找到客戶端和服務(wù)器都支持的某種共有的身份認(rèn)證協(xié)議。

4）摘要式身份認(rèn)證 摘要式身份認(rèn)證需要用戶ID和密碼，其安全級別為中等。如果用戶被允許從公共網(wǎng)絡(luò)訪問安全信息，則可以使用該方法。在使用摘要式身份認(rèn)證時，密碼不是以明文形式發(fā)送的。另外，用戶可以通過代理服務(wù)器使用摘要式身份認(rèn)證。摘要式身份認(rèn)證使用一種質(zhì)詢／響應(yīng)機(jī)制 （集成Windows身份認(rèn)證使用的機(jī)制），其中的密碼以加密形式發(fā)送。在使用摘要式身份認(rèn)證時必須滿足下述要求：①用戶和IIS服務(wù)器必須是同一個域的成員或被同一個域信任；②用戶必須有一個存儲在域控制器上ActiveDirectory中的有效Windows用戶帳戶；③該域必須使用Microsoft Windows 2000或更高版本的域控制器；④必須將IISSuba．dll文件安裝到域控制器上，該文件在 Windows 2000或 Windows Server 2003的安裝過程中能夠自動復(fù)制；⑤必須將所有用戶帳戶配置為選擇 “使用可逆的加密保存密碼”帳戶選項。要選擇此帳戶選項，必須重置或重新輸入密碼。

5）Microsoft．NET Passport身份認(rèn)證 ．NET Passport身份認(rèn)證提供了單一登錄安全性，為用戶提供對Internet上各種服務(wù)的訪問權(quán)限。如果選擇該選項，對IIS服務(wù)的請求必須在查詢字符串或Cookie中包含有效的．NET Passport憑據(jù)。如果IIS服務(wù)不檢測．NET Passport憑據(jù)，請求就會被重定向到．NET Passport登錄頁。如果選擇此選項，其他所有身份認(rèn)證方法都將不可用。

3 實例分析

為了驗證IIS多站點下的身份驗證，首先需要在IIS中建立3個站點，同時分別取名為Site＿A、Site＿B和Site＿C，其中IIS服務(wù)器IP為10．84．11．102，站點Site＿A的訪問地址為http：／／10．84．11．102：8081、站點Site＿B的訪問地址為http：／／10．84．11．102：8082、站點Site＿C的訪問地址為http：／／10．84．11．102：8083。

在建立IIS站點后，IIS會以用默認(rèn)開啟 “匿名身份驗證”機(jī)制，并以一個通用的匿名帳戶 （IUSR＿ADMIN-＊＊＊＊＊＊＊＊）對站點進(jìn)行身份驗證仿問，同時啟用 “集成Windows身份認(rèn)證”機(jī)制（查看方法：在IIS管理器網(wǎng)站目錄下右鍵單擊某個單站點，打開 “屬性”對話框，找到 “目錄安全性”選項卡，在該選項卡的 “身份驗證和訪問控制”內(nèi)容組里單擊 “編輯”即可）。

1）采用自定義帳戶進(jìn)行匿名身份驗證 匿名身份驗證配置過程如下：①打開 “本地用戶與組”管理器，在展開 “用戶”管理，在 “用戶”管理中增加3個帳戶，分別為Site＿A、Site＿B、Site＿C，帳戶密碼為了方便統(tǒng)一，使用 “123456”。②更改Site＿A帳戶所屬組，同時刪除帳戶默認(rèn) “隸屬于”的 “Users”組，新加入到 “IIS＿WPG”用戶組中；以相同的方法更改帳戶Site＿B、帳戶Site＿C的“隸屬于”組信息。③更改IIS站點Site＿A的匿名身份驗證帳戶為Site＿A，并設(shè)置密碼與創(chuàng)建帳戶時使用的密碼相同即為123456，同時勾選 “集成Windows身份驗證”。④站點權(quán)限設(shè)置。在IIS站點管理器中右擊站點Site＿A打開權(quán)限設(shè)置對話框，刪除默認(rèn)的Users組仿問權(quán)限，新增Site＿A帳戶記問要限，并設(shè)置Site＿A帳戶權(quán)限為可修改。⑤使用步驟③、④分別對IIS站點Site＿B、站點Site＿C做相同配置。

圖1所示為IIS站點Site＿A配置自定義身份驗證運行效果圖。圖2所示為IIS站點身份驗證登陸事件效果圖。

圖1 IIS站點Site＿A配置自定義身份驗證運行效果圖

圖2 IIS站點身份驗證登陸事件效果圖

2）采用特定帳戶進(jìn)行Windows集成身份驗證 “Windows集成身份驗證”配置過程與 “匿名身份驗證”配置過程的唯一區(qū)別是在站點的 “身份驗證與仿問控制”設(shè)置中不勾選 “啟用匿名方問”，因而對站點Site＿A做出相應(yīng)更改。當(dāng)再次訪問站點Site＿A的時候，會出現(xiàn)要求輸入的帳戶與密碼，在輸入之前設(shè)定的帳戶Site＿A和密碼123456之后，就可以正常訪問網(wǎng)站。圖3所示為站點Site＿A集成Windows身份驗證驗證成功后運行效果圖。圖4所示為站點身份驗證登陸事件結(jié)果圖。由圖4可知，帳戶Site＿A、帳戶Site＿B都已通知Windows身份驗證，但是由于IIS的仿問控制權(quán)限限定了帳戶Site＿B的訪問，所以使用帳戶Site＿A進(jìn)行身份驗證后能正常訪問，而使用帳戶Site＿B則不能。

圖3 IIS站點Site＿A集成Windows身份驗證驗證成功后運行效果圖

圖4 IIS站點身份驗證登陸事件結(jié)果圖

4 結(jié) 語

通過Windows帳戶組、IIS的身份驗證機(jī)制和Windows文件仿問權(quán)限控制的配合使用，可以靈活地配置IIS的站點的身份驗證用戶，并能在一臺服務(wù)器上配置多個站點的身份驗證，且相互之間互不干擾，從而大大增強了應(yīng)用于Windows Server服務(wù)器系列操作系統(tǒng)上站點的安全可靠性。

［1］Server 2003IIS6．0安裝、配置實用技巧 ［DB／OL］．http：／／servers．pconline．com．cn／skills／0706／1035420＿all．html，2007-06-15．

［2］李洋．IIS服務(wù)中5種身份驗證的靈活運用 ［DB／OL］．http：／／os．51cto．com／art／201005／202380．htm，2010-05-27．