接上一篇:CMS中的安全性和身份驗證(上) 下面兩節討論基本身份驗證和集成的 Windows 身份驗證,對於管理員何時應使用其中一種方法而不使用另一種,我們也提供了一些一般性建議。 基本身份驗證 基本身份驗證類似於 MSCMS 基於窗體的身份驗證,因為它是 HTTP 規范的一部分,而且多數浏覽器都支持它。用戶將分配給他們的 Windows 2000 帳戶用戶名、密碼和域名輸入到對話框中。管理員可能還會指定一個默認域。 在符合下面的一個或多個條件的環境中,建議采用基本身份驗證: 1.用戶正在從多個浏覽器進行身份驗證,MSCMS 基本窗體身份驗證不是選項之一。 2.浏覽計算機的 IP 地址使用了一個代理服務器,因而集成的 Windows 身份驗證不能使用。 3.管理員想識別對站點的訪問,亦即確定用戶的唯一號碼,而不關心經過身份驗證的訪問。 與基於窗體的身份驗證類似,基本身份驗證在用戶發出初始請求時通過網絡以明文形式發送用戶信息;此外,以後每發送一個請求,基本身份驗證都會發送用戶信息。因為用戶每次請求一個新頁面時都會通過網絡傳遞用戶信息,所以用戶信息特別容易被截取。由於這一原因,除非用戶和 Web 服務器之間的連接絕對安全(例如通過專線),否則建議不要采用基本身份驗證。此外,對於依賴基本身份驗證的 Web 站點的任一部分,都應當采用 SSL 加密。 集成的 Windows 身份驗證 與基本身份驗證類似,集成的 Windows 身份驗證(以前稱為 NTLM 或 Windows NT 請求/響應身份驗證)利用了用戶的 Windows 登錄信息。但是,浏覽器並不提示用戶將這些信息重新輸入到一個對話框中,而是嘗試自動檢索這些信息。此過程稱為自動登錄。在 Intranet 環境中,默認情況下會啟用這種身份驗證方式,但管理員可以在 IIS 中禁用它。若要在 Intranet 環境中使用自動登錄,用戶必須向服務器所在的域進行身份驗證,否則用戶的域和服務器的域之間必須存在一種單向信任關系。 注 如果有一個外圍網絡(又稱 DMZ、非軍事區和屏蔽子網)保護 Web 環境,則不建議建立從外圍網絡到內部網絡的信任。如果相應的端口已經打開,,則可以使用防火牆之外的域。 當浏覽器檢索 Windows 身份驗證信息之後,它會通過一個稱為哈希 的單向進程將這些數據傳給 Web 服務器。生成的消息摘要或“哈希”是無法解密的。如果身份驗證交換最初未能識別用戶,則浏覽器將提示用戶提供帳戶名、密碼和域。 盡管集成的 Windows 身份驗證是最安全的身份驗證選項,但它確實有一些限制: ■ 如果防火牆或代理服務器屏蔽了浏覽計算機的 IP 地址,則不能使用它。 ■ 在 HTTP 代理連接中不能使用它。 ■ 提示用戶輸入登錄信息的對話框是不可自定義的。 ■ 它只能用於 Internet Explorer 浏覽器。 集成的 Windows 身份驗證最適合用於內聯網環境;在這種環境中,用戶和 Web 服務器處於同一域中,而且管理員可以確保所有經過身份驗證的用戶都使用 Internet Explorer。 配置 IIS 安全上下文登錄 1.浏覽到 C:\\Program Files\Microsoft Content Management Server\Server\IIS_NR\System\Access,然後打開文件 IISAuthentication.inc。 2.將 CF_IIS_Security_Context_Login 設置為 true。這將為整個 Web 站點啟用 IIS 安全上下文。 3.進入 MMC 控制台的“Internet 信息服務”管理單元或“Internet 服務管理”,打開 IIS_NR 虛擬目錄,然後單擊目錄安全性選項卡。 4.在匿名訪問和驗證控件下,單擊 編輯,然後選擇相應的身份驗證方法。 注 您可以選擇一種以上身份驗證方法,但建議不要這樣做。因為這意味著將由浏覽器選擇它希望使用的方法。如果浏覽器選擇“基本”,而站點又未啟用 SSL 加密,則用戶憑據可能會被截取。 5.若要啟用自動登錄,請選擇集成的身份驗證,並在客戶端浏覽器中選擇您想用於自動登錄的選項。 有關集成的 Windows 身份驗證的更多信息,請參見 ?url=/TechNet/prodtechnol/iis/maintain/featusability/authmeth.asp 使用 Site Server 登錄 Content Manager Server 2001 當前支持 Microsoft Site Server 3.0 SP3,因此可以使用 Site Server 的 Membership Server(成員身份服務器)來對輕量目錄訪問協議 (LDAP) 帳戶進行身份驗證。 Site Server 提供基於窗體的登錄。Content Management Server 2001 中兩個幫助驗證身份的文件分別是位於虛擬 Web 根下的 NRSiteServerAccess.asp 和位於 IIS_NR/shared 下的 NRFormsLogin.asp。 如果決定使用 Site Server 身份驗證,請注意以下幾點: ■ Site Server 身份驗證不提供一般的 LDAP 支持。例如,它不能用於 Novell 系統。 ■ MSCMS 的未來版本中將不支持 Site Server,它僅在 MSCMS 2001 中可用。 ■ 服務器群集環境中不支持 Site Server。 配置 Site Server 登錄 1.在 CMS 2001 系統中安裝 Site Server。 2.打開“服務器配置應用程序”(Server Configuration Application),單擊 Access(訪問)選項卡,然後單擊 Configure Access(配置訪問)。
3.在“服務器配置應用程序”中啟用 Site Server 身份驗證,然後選擇要包括的組織單元。 來賓訪問 來賓訪問允許用戶在不提供身份驗證憑據的情況下訪問一部分或所有 MSCMS Web 頁。匿名用戶可訪問的頁取決於管理員將來賓帳戶指派到的訂戶組的權限。必須使用 Site Builder 作為 MSCMS 2001 訂戶添加來賓帳戶。 可以將來賓訪問與 IIS 安全上下文或基於窗體的身份驗證一起啟用。 配置來賓訪問 1.浏覽到 IIS_NR 虛擬目錄並啟用匿名訪問。 2.打開“服務器配置應用程序”(SCA),單擊 Security(安全)選項卡,然後單擊 Configure(配置)。 3.通過使用 Windows NT 用戶帳戶指定一個來賓用戶。 注 您可以使用一個 Active Directory Service 帳戶,但必須將它格式化為 Windows NT 帳戶。 4.將此 Windows NT 帳戶添加到 CMS 2001 中的一個訂戶組中。這時使用“來賓訪問”登錄的用戶將繼承該訂戶組的權限。 安全設置 在任何 MSCMS Web 站點上,都有三個不同的安全層。除 MSCMS 獨有的安全設置外,某些 Web 文件還繼承適用於 Windows 或 IIS 的安全設置,具體繼承哪種取決於這些文件的存儲位置。Web 作者腳本、身份驗證與外部腳本、臨時資源數據文件和運行時生成的 ASP 模板都存儲在 NTFS 文件系統中,而非 MSCMS 數據庫中,所以將由 NTFS 為這些文件提供安全保護機制。NTFS 文件權限限制對文件的訪問。 注 MSCMS 必須安裝在啟用 NTFS 的分區上。它不能安裝在文件分配表 [FAT] 文件系統中。 同樣,在 IIS 虛擬 Web 站點和目錄下安裝期間,Content Management Server 創建若干虛擬目錄,默認情況下在 IIS 中對這些虛擬目錄的訪問是受限制的。建議不要放松 NTFS 或 IIS 內的默認安全設置;相反,您可能需要進一步限制(例如按 IP 地址)對特定目錄或計算機名的訪問。 管理員管理 Microsoft Content Management 中的以下安全設置: ■ 在 IIS Web 服務器中控制對每個虛擬 Web 站點的訪問。 ■ 設置 MSCMS 2001 系統帳戶信息 ■ 設置來賓訪問選項 ■ 建立 Web cookie 設置。 因為使用 MSCMS SCA 配置了這些安全設置,所以對 SCA 的訪問也應當受限制,最好僅限本地管理員訪問。若要最大限度地限制訪問,請不要在以下 Web 站點入口點安裝 SCA: ■ 任何允許匿名訪問的站點。 ■ IIS 中的 MSCMS 默認 Web 站點。 ■ 使用端口 80 的站點。 ■ 沒有對文件啟用文件系統安全和 IIS 安全的站點。 如果在以上任一 Web 站點上安裝了 SCA,在安裝時就會產生警告消息。理想情況下,SCA 應當安裝在由 IIS 管理的可用虛擬 Web 站點中最安全的站點上。 下一篇:CMS中的安全性和身份驗證(下)