IIS, c’est quoi?
Historique de IIS Installation de IIS Gestion de base de IIS Méthodes d’authentification
Edy Joachim,
Internet Information Services ,
c’est quoi?
Internet Information Services (IIS) 7.5 est le rôle Web Server (IIS) dans Windows Server® 2008.
Un serveur Web est un programme basé sur le modèle client/server et le World Wide Web's Hypertext Transfer Protocol ( HTTP).
Un serveur Web fournit les fichiers qui constituent les pages Web aux clients Web.
IIS supporte les protocoles HTTP, HTTPS, FTP, FTPS, SMTP,
…
Tout ordinateur sur Internet (ou dans un Intranet) qui contient un site dispose d’un programme Web.
Les deux plus gros joueurs des programmes Web sont Apache , et Microsoft's Internet Information Server ( IIS ).
Première version IIS 1.0 (Mai 1995)
Autres joueurs: Novell's Web Server , IBM et ses serveurs Lotus Domino, …
Historique de IIS
IIS 1.0 ajout gratuit pour Windows NT 3.51 IIS 2.0 inclus dans Windows NT 4.0.
IIS 3.0, inclus dans Windows NT 4.0 Service Pack 2
IIS 4.0 "Option Pack" for Windows NT 4.0.
IIS 5.0 inclus dans Windows 2000]
IIS 5.1 avec Windows XP Professional,
IIS 6.0, inclus dans Windows Server 2003 et Windows XP Professional x64 Edition,
IIS 7.0 a été complètement revu et inclus dans Windows Vista et Windows Server 2008.
IIS 7.0 a été conçu de façon modulaire pour aider à éviter les attaques en surface et augmenter la performance.
IIS 7.5 a été inclus dans Windows et Windows Server 2008 R2.
IIS 8.0 est inclus dans la version Windows Server 2012 et Windows 8.
IIS 8.5 est inclus dans Windows Server 2012 R2 et Windows 8.1.
Installation de IIS
IIS est implanté dans Windows 2008 comme rôle
IIS est modulaire: On y ajoute donc les modules selon nos besoins.
Les modules sont ajoutés sous formes de « role services »
Les consoles « Server Manager » et PowerShell sont utilisées pour installer IIS et les modules (role
services).
Modules IIS
Les « Role Services » sont présentés dans Server Manager par catégorie
Les différentes catégories sont:
Common HTTP Features
Application Development Features
Health and Diagnostics Features
Security Features
Performance Features
Management Tools
File Transfer Protocol (FTP) Server Features
Gestion de base de IIS
Une fois IIS est installé, la console Internet Information Services (IIS) Manager est disponible sous les Outils d’administration pour la gestion du programme.
PowerShell peut être utilisé pour gérer IIS également.
Mode de fonctionnement de l'authentification sur le Web
L'authentification sur le Web désigne une communication entre le navigateur Web et le serveur Web avec intervention d'un nombre limité d'en‐têtes HTTP (HyperText Transfer Protocol) et de messages d'erreur.
Le flux de communication se décompose de la manière suivante :
Le navigateur Web soumet une demande (HTTP‐GET, par exemple).
Le serveur Web procède à un contrôle d'authentification. Si l'authentification est obligatoire, le serveur renvoie un message d'erreur de ce type en cas d'échec :
« Vous n'êtes pas autorisé à afficher cette page »
« Vous ne disposez pas des autorisations pour afficher ce répertoire …»
Ce message contient des informations que le navigateur Web peut utiliser pour resoumettre la demande en tant que demande authentifiée.
Le navigateur Web utilise la réponse du serveur pour élaborer une nouvelle demande comportant des informations d'authentification.
Le serveur Web procède à un contrôle d'authentification. En cas de réussite, le serveur Web envoie au navigateur Web les données initialement demandées.
Méthodes d'authentification
IIS prend en charge les méthodes d'authentification suivantes :
Authentification anonyme (Anonymous Authentication)
IIS crée le compte IUSR_nom_ordinateur (où nom_ordinateur correspond au nom du serveur qui exécute IIS) pour authentifier les utilisateurs
anonymes qui soumettent une demande de contenu Web.
Si l'ordinateur exécutant Windows Server 2003 est un serveur autonome, le compte IUSR_nom_ordinateur se trouve alors sur le serveur local. Si le serveur est un contrôleur de domaine, le compte IUSR_nom_ordinateur est alors défini pour le domaine.
Méthodes d'authentification
Authentification de base (Basic Authentication)
L'authentification de base permet de limiter l'accès aux fichiers qui se trouvent sur le serveur Web au format NTFS.
L'utilisateur doit entrer des informations d'identification et l'accès repose sur l'ID d'utilisateur.
L'ID d'utilisateur et le mot de passe sont envoyés sur le réseau en texte clair.
Remarque : Les informations d'identification de l'utilisateur sont codées en Base64 mais ne sont pas chiffrées lors de leur transmission sur le réseau, l'authentification de base n'est pas considérée comme un mode d'authentification sécurisé.
Méthodes d'authentification
Authentification Windows
(
WindowsAuthentication)
L'authentification Windows intégrée est plus sécurisée que l'authentification de base et fonctionne bien dans un environnement intranet dans lequel les utilisateurs possèdent des comptes de domaine Windows.
Dans le cadre d'une authentification Windows intégrée, le navigateur tente d'utiliser les informations d'identification de l'utilisateur actuel à partir d'une ouverture de session sur un domaine.
Normalement, l’utilisateur n’a donc pas à entrer ses crédentiels pour accéder au site.
Lorsque vous utilisez l'authentification Windows intégrée, le mot de passe de l'utilisateur n'est pas transmis au serveur.
En cas d'échec, l'utilisateur est invité à entrer un nom d'utilisateur et un mot de passe.
Remarque : vous ne pouvez pas utiliser l'authentification Windows intégrée par l'intermédiaire d'un serveur proxy.
http://www.iis.net/configreference/system.webserver/security/authentication/windowsauthentication
Authentifications Windows:
considérations spéciales
Internet Explorer 10 et supérieur demande pour les crédentiels lors de l’accès à une page Web aux usagers de domaine (ce comportement peut être modifié).
Si la page est séparée par des points (edy.ejoa.dom, par exemple), IE croit que c’est une tentative d’accès à
partir de l’Internet et demande les crédentiels.
Solutions
Solution 1:
Solutions Windows authentification
Solution 2:
Solutions Windows authentification
Pour appliquer ce paramètre sur tous les ordinateurs du domaine :
Créez un GPO et modifier le paramètre « Site to Zone Assignment List » :
Computer Configuration\Admininistrative Templates\Windows Components\Internet
Explorer\Internet Control Panel\Security Page\Site
to Zone Assignment List
Solutions Windows authentification
Solutions Windows authentification
Méthodes d'authentification
Authentification Digest (Digest Authentication)
L'authentification Digest comble les nombreuses lacunes de l'authentification de base.
Le mot de passe n'est pas envoyé en texte clair lorsque vous utilisez l'authentification Digest.
Vous pouvez utiliser l'authentification Digest par l'intermédiaire d'un serveur proxy. L'authentification Digest s'appuie sur un mécanisme de stimulation/réponse (utilisé par l'authentification Windows intégrée) dans lequel le mot de passe est envoyé sous forme chiffrée.
Les permissions au niveau des sites
Les méthodes d’authentification déterminent Qui peut accéder aux sites.
Pour déterminer le Quoi que les usagers peut faire sur un site est contrôlé en combinant les méthodes
d’authentification avec les permissions de sécurité.
Par défaut, les permissions sont assignées pour permettre aux utilisateurs du domaine d’accéder, au moins en lecture, à tous les sites et toutes les applications (ce que vous ne voulez pas toujours).
Toutes les particularités des permissions de sécurité restent pertinentes:
Permissions par défaut
Héritage
…
