Passwort Schützen Sie ein Verzeichnis mit IIS 7 Digest Authentifizierung

Question

Dies kann nur mein Missverständnis des Themas sein, aber ich hoffe, eine einfache Antwort zu finden.

Ich betreibe einen Webserver für meinen eigenen Gebrauch, unter vielen Gründen, nur damit ich einen Domain-Namen habe, um mein Netzwerk zu Hause zu referenzieren.

Ich habe gerade Sever 2008 Enterprise dank einer MS-Charity-Lizenz bereitgestellt. Es ist so viel besser als das IIS 5 auf XP-Setup, das ich vorher hatte.

Ich bin immer noch mit AD-Gruppen und Benutzern herumspielen, aber im Moment möchte ich nur ein paar Ordner auf der Web-Seite dieser Box mit einem Passwort schützen.

Sagen Sie, ich gehe auf domain.com, kein Problem. Ich möchte den öffentlichen Zugang dorthin, und es funktioniert gut. Aber wenn ich zu domain.com/private gehe, möchte ich, dass eine Benutzer/Pass-Box entsteht. Ich habe dies vorher mit einem billigen Programm namens IISPassword erreicht, das .htaccess/.htpasswd Dateien verwendet.

Während ich über die Fähigkeiten von IIS7 nachforschte, begann ich mich für Digest Authentication zu interessieren. Da ich wusste, dass die Basisauthentifizierung Passwörter im Klartext übertragen würde, entschied ich, dass dies eine weit überlegene Option wäre.

Ich habe Berechtigungen für den Ordner/private gesetzt, um alle anderen Methoden (anon, basic) zu deaktivieren, und Digest nur in IIS MMC aktivieren. Ich habe die Ordnerberechtigungen auf einer NTFS-Ebene nicht geändert (nur Domänengruppen, IUSR hat keinen Eintrag). Alles, was ich als Reaktion darauf bekomme, wenn ich die Seite anschaue, ist ein Fehler 500.

Ich gebe zu, dass ich auf dieser Ebene der Verwaltung noch neu bin und würde jede Hilfe, die ich bekommen kann, sehr schätzen, um dieses Schutzniveau zu ermöglichen. Ich wäre in Ordnung mit AD-Authentifizierung, aber ich denke, ich bin immer noch bei "Warum bekomme ich eine 500 statt einer Anmeldeinformationen Prompt"

Vielen Dank! Jon

Answer 1

Ich habe keine 100% Antwort für Sie, aber ich asked this same question. Es klingt wie es von IIS7 unter INTEGRATED-Modus entfernt wurde.

Bitte lesen Sie die Antworten in diesem Post. Es könnte Ihnen helfen :)

Answer 2

Vielen Dank für Ihre Eingabe!

Als ich alles migriert habe, habe ich meine Fehlerseiten auch umgezogen. Nachdem ich dies über localhost getestet hatte, fand ich heraus, dass es keinen absoluten Pfad erlaubte ... Lange Rede, kurzer Sinn Ich änderte, wie es nach 404 und 401 Fehlerseiten suchte, und es hat jetzt keine 500 für mich. Das Problem bleibt, dass es nicht nach einem Passwort fragt, es sei denn, ich teste es auf dem Rechner von localhost. Jede andere Maschine wirft die 401.htm-Seite sofort.

Answer 3

Nun, Sie werden wahrscheinlich eine Menge davon bekommen, da jeder, der sicheren Zugriff von der einen oder anderen Art implementieren muss, genug Attacken gehabt hat, dass das Implementieren eines echten Kryptos zumindest schwierig ist und erhebliche Arbeit erfordert. (nicht, dass Sie nicht sind)

Ich werde eine Vermutung riskieren, dass, wenn Sie MS Nächstenliebe Lizenz sind es hängt davon ab, welche wertvolle Eigenschaft Sie schützen müssen - Übertragung des Ergebnisses einer starken Nachricht Digest ist das gleiche wie die 'pw' im Klartext übertragen, wofür Message Digest verwendet wird, ist, dass du das Message Digest irgendwo serverseitig speicherst, wenn der haarige Gorilla, das Muckmonster, den bösen Zwilling zu einem Spaziergang durch dein System schickt, Die Kennwörter können nicht aus dem Nachrichten-Digest wiederhergestellt werden.

Auch wenn die gesamte Festplatte verloren ist, pro Standard-Pro-Forma-Fehler-Szenario an mehreren Stellen (anstatt Aufmerksamkeit zu erregen, lassen Sie mich Ihnen nur sagen, das ist das Alptraum-Szenario) dann keine Spur von Betrugsdetektoren gehen auf Big Time Finance World Corp, ... vielleicht ein paar hier und da, aber keine Welle oder Ausschlag von Ereignissen.

Halten Sie die Mittel in der Bank, lesen Sie Sarbanes-Oxley Act von 2002, verwenden Sie Small-Shop-Sicherheitsmodell, und versuchen Sie nicht, Twisted Sister zu behandeln, lassen Sie das für jemand anderen. Die Standardauthentifizierung sendet Klartext, es sind keine Paketschnüffler, um die Sie sich sorgen sollten - wenn es dann in Heartland zu kürzlichen Unterbrechungen kommt, erzählen Sie, dass nur Hardware-Verschlüsselung/Entschlüsselung irgendeinen Nutzen in feindseligen Benutzerlanden hat, eine kurze Entfernung von Alice im Wunderland.

Die meisten Sachen, die jetzt geschätzt werden, würden uns schlagen, als ich kam, heute bekommt man eine Auszeichnung dafür.

Lesen Sie das Vorwort von Wenbo Mao.

Nachrichten bearbeiten: Können Sie sagen, wo 7c6a180b36896a0a8c02787eeafb0e4c herkam? Weder kann Twisted-Twin (!)

Nachricht bearbeiten:

RFC 2617 - HTTP-Authentifizierung: Basic und Digest Access Authentication

RFC 3540 - Robust Explicit Congestion Notification (ECN) Signalisierung mit Nonces

RFC 4418 - UMAC: Nachrichtenauthentifizierungscode mit Universal Hashing

Was auch immer Sie tun, verwenden Sie bewährte Tools.