Защита паролем каталога с помощью IIS 7 Digest Authentication

Question

Это может быть просто моим неправильным пониманием предмета, но я надеюсь найти простой ответ.

Я использую веб-сервер для собственного использования, по многим причинам, поэтому у меня есть доменное имя для ссылки на мою сеть дома.

Я только что развернул Sever 2008 Enterprise благодаря приобретению благотворительной лицензии MS. Это намного лучше, чем у IIS 5 на XP, который у меня был до этого.

Я все еще играю с группами AD и пользователями, но сейчас я просто хочу защитить паролем пару папок на веб-стороне этого окна.

Скажи, что я иду на domain.com, нет проблем. Я хочу, чтобы там был публичный доступ, и он работает просто отлично. Но если я захожу на domain.com/private, я хочу, чтобы он выдал поле user / pass. Я достиг этого раньше, используя дешевую программу под названием IISPassword, которая использовала файлы .htaccess / .htpasswd.

Читая о возможностях IIS7, я заинтересовался дайджест-аутентификацией. Зная, что базовая аутентификация будет передавать пароли в виде открытого текста, я решил, что это будет гораздо лучшим вариантом.

Я установил разрешения для папки / private, чтобы отключить все другие методы (anon, basic) и включить дайджест только в IIS MMC. Я не изменил разрешения для папок на уровне NTFS (только доменные группы, IUSR не имеет записи). Все, что я получаю в ответ при просмотре страницы, это ошибка 500.

Я признаю, что я все еще новичок в этом уровне администрирования и был бы очень признателен за любую помощь, которую я могу получить, чтобы включить этот уровень защиты. Я бы хорошо использовал аутентификацию AD, но я думаю, что до сих пор застрял в «почему я получаю 500 вместо приглашения учетных данных»

Спасибо! Jon

Answer 1

Спасибо за ваш вклад!

Когда я перенес все, я тоже переместил страницы с ошибками. Протестировав это через localhost, я обнаружил, что он не допускает абсолютного пути ... Короче говоря, я изменил способ поиска страниц с ошибками 404 и 401, и теперь у меня нет 500. Проблема остается в том, что он не запрашивает пароль, если я не проверяю его на компьютере с локального хоста. Любая другая машина просто сразу выбрасывает страницу 401.htm.

Answer 2

Что ж, вы, вероятно, получите многое из этого, поскольку у любого, кто должен реализовать безопасный доступ того или иного рода, будет достаточно атак, что реализация любого реального шифрования будет по меньшей мере трудной и потребует значительной работы. (не то чтобы вы не)

Я рискну предположить, что если вы лицензия на благотворительность MS , то это зависит от того, какое ценное свойство вы должны защищать - передача результата сильного дайджеста сообщения аналогична передаче 'pw' в чистом виде, для чего используется Message Digest, если вы храните Message Digest где-нибудь на стороне сервера, поэтому если Волосатая Горилла, Muck Monster отправляет злого близнеца на прогулку по вашей системе, пароли не могут быть восстановлены из дайджеста сообщений.

Даже если весь диск будет утерян в соответствии со стандартным сценарием сбоя проформы в нескольких местах (вместо того, чтобы привлечь внимание, позвольте мне сказать вам, что это кошмарный сценарий), то в Big Time Finance не будет никакого количества детекторов мошенничества. World Corp, .... возможно, несколько здесь и там, но нет волн или событий.

Храните средства в банке, прочитайте закон Сарбейнса-Оксли 2002 года, используйте модель безопасности в небольшом магазине и не пытайтесь разобраться с витой сестрой, оставьте это кому-то другому. Базовая аутентификация дает ясное представление о том, что вас не должны беспокоить не анализаторы пакетов - если это недавние перерывы в Heartland, говорят о том, что только аппаратное шифрование / дешифрование может использоваться во враждебных пользовательских областях, на небольшом расстоянии от Алисы в Стране чудес.

Большинство вещей, которые сейчас ценятся, нас избили, когда я подошел, сегодня вы получите за это награду.

Прочитайте предисловие Вэньбо Мао.

Редактирование сообщения: вы можете сказать, откуда взялась 7c6a180b36896a0a8c02787eeafb0e4c ? Так же как и Twisted Twin (! )

Редактирование сообщения:

RFC 2617 - Аутентификация HTTP: базовая и дайджест-аутентификация доступа

RFC 3540 - Надежное явное оповещение о перегруженности (ECN) с одноразовыми номерами

RFC 4418 - UMAC: код аутентификации сообщения с использованием универсального хеширования

Что бы вы ни делали, используйте установленные инструменты.

Answer 3

У меня нет 100% ответа для вас, но я задал этот же вопрос . Похоже, он был удален из IIS7 в режиме INTEGRATED .

Пожалуйста, прочитайте ответы в этом посте. Это может помочь вам:)