Методы защиты чистого HTML-сайта

Question

Мне было поручено обеспечить для кого-то чистый HTML-сайт, и я не совсем уверен, как решить эту проблему. Вот ограничения:

1. Все логины должны быть связаны с нашим текущим доменом Active Directory.
2. (Необязательно, но желательно). Решение должно включать запросы из белого списка, поступающие из нашей интрасети, то есть, если кто-то пытается получить доступ к сайту из кампуса, они сразу же принимаются.
3. (Необязательно, но желательно) Решение должно включать запросы из белого списка, сделанные с нашего веб-сайта концентратора, независимо от того, находятся ли они в кампусе. Упомянутый хаб-сайт защищен логинами, которые ссылаются на наш домен Active Directory, так что это, по сути, запрос на сквозную передачу.

Подавляющее большинство нашей пользовательской базы очень нетехническое, поэтому небольшая занимаемая площадь с небольшим количеством запросов на вход в систему является бесполезной.

Обычно у меня не было бы проблем с этим, но это чистый HTML-сайт, поэтому мои возможности немного ограничены. Мои текущие идеи:

1. Использование безопасности каталогов IIS6 для принудительной проверки подлинности Active Directory. Я не могу использовать IP разрешение / отказ, потому что эта проверка предшествует чему-либо еще в жизненном цикле и быстро запрещает что-либо из списка запрещенных. Я не могу изменить это поведение.
2. Код файла aspx, который находится на нашем веб-сайте концентратора, который предварительно загружает для пользователя встроенные учетные данные безопасности Windows, автоматически аутентифицируя их на веб-сайте HTML. Что касается IIS, то это два разных веб-сайта, и в лучшем случае это звучит как плохая практика, а в худшем - имитация попытки вторжения с одного сайта на другой.

Я должен признать, что застрял. Кто-нибудь когда-нибудь сталкивался с такой проблемой?

Answer 1

Если вы используете Windows2003 / IIS6 и ваш веб-сервер является частью вашего домена, вы можете сделать следующее:

1. Настройте свой веб-сайт для использования встроенной и / или базовой проверки подлинности для проверки подлинности в Active Directory. Также отключите анонимный доступ. Вы найдете эти настройки, нажав «Изменить» на вкладке «Безопасность каталога» на своем веб-сайте в диспетчере IIS. Вам нужно будет включить только Basic, если ваши пользователи будут использовать браузер, отличный от Internet Explorer. Если вы используете Basic, вы также должны использовать SSL для защиты ваших имен пользователей и паролей. Уровень доступа определяется разрешениями, установленными для файлов / каталогов корневых / дочерних каталогов вашего сайта. Любые файлы в этих каталогах будут предоставляться только аутентифицированным пользователям.

2. Чтобы разрешить пользователям в вашем домене вход в систему без запроса, вам нужно настроить Internet Explorer для автоматического входа на сайты в вашей интрасети. Вам также необходимо включить встроенную аутентификацию для вашего сайта в IIS.

3. Я не уверен, будут ли выполнены требования пункта 3. Если ваш хаб-сайт использует олицетворение, он может передать ваши учетные данные Windows на другой сервер в вашем домене, но я не подозреваю.

Ссылки:

«Как настроить проверку подлинности веб-сайта IIS в Windows Server 2003» http://support.microsoft.com/kb/324274/

«Internet Explorer может попросить вас ввести пароль» http://support.microsoft.com/kb/258063

«Как использовать зоны безопасности в Internet Explorer» http://support.microsoft.com/kb/174360/EN-US/

Answer 2

Если сайт с чистым html работает на IIS, преобразование его в веб-приложение .Net только для того, чтобы обернуть его ресурсы при входе в пользовательские условные формы с использованием более богатых оболочек безопасности ASP.Net, кажется достаточно естественным. Вы можете подавать чистые HTML-файлы из этого приложения.

Это не имеет недостатка для сопровождающих контента, которые я вижу.