Hitelesítés és hozzáférés szabályozás az IIS 7-ben

Az Internet Information Services 7 számos újdonságot hordoz a hitelesítés (authentication) és a hozzáférés szabályozás (authorization) területén, melyek nagyban megkönnyítik a webkiszolgálót üzemeltető rendszergazdák életét.

Illusztráció Az IUSR_gépnév felhasználót és az IIS_WPG csoportot felváltotta az IUSR felhasználó és az IIS_IUSRS csoportok. Mindkettő beépített identity lett az operációs rendszerben, így a nevük és a SID-jük állandó és a felhasználó jelszavának kezelésével sem kell foglalkoznunk. Az alkalmazáskészletekhez rendelt felhasználói fiókok futási időben automatikusan az IIS_IUSRS csoport tagjaivá válnak, így elég ennek a csoportnak jogosultságokat adnunk, nem kell a csoporttagsággal foglalkoznunk. Újdonság, hogy a jogosultságszabályozásnál az alkalmazáskészletek felhasználói fiókjaira is hivatkozhatunk az IIS APPPOOL<alkalmazáskészlet neve> formában.

A hozzáférés szabályozásban újdonság az ASP.NET ihlette URL Authorization, amely lehetővé teszi, hogy a fájlrendszerben található erőforrásoktól függetlenül, URL-ekre adjunk meg hozzáférési szabályokat. A definiált szabályok web.config állományokban tárolódnak, így nincs többé szükség a fájlokon és mappákon megadott hozzáférés-szabályozási listák (ACL-ek) nehézkes mozgatására. Az új URL Authorization modul segítségével ráadásul nem csak Windows felhasználói fiókokra adhatunk meg szabályokat, hanem – mivel a modul képes együttműködni az ASP.NET Membership és Role Providerekkel – akár Forms Authentication eredményeként előállt felhasználói fiókokra és csoportokra is.

Demó

A demóban bemutatásra kerül az új URL Authorization modul és a hozzáférés szabályozása az új IIS APPPOOL névtér segítségével.

A videó a képre kattintva megtekinthető böngészőben vagy a kép alatti linkre kattintva letölthető:

A képre kattintva megtekinthető a demó videó.

Letöltés: Hozzaferes_szabalyozas.wmv (15:29, 70.0 MB)

Első lépések

A hitelesítés működéséhez telepítenünk kell legalább egy modult az alábbiak közül: Basic Authentication, Client Certificate Mapping Authentication, Digest Authentication, IIS Client Certificate Mapping Authentication, Windows Authentication vagy az ASP.NET támogatást. Az URL Authorization szintén külön modulként telepítendő.

Jó tudni

Az ASP.NET-es és az IIS 7-es URL Authorization között sok különbség van:

ASP.NET URL Authorization

IIS 7 URL Authorization

Szabályok kiértékelése

Alsóbb szinttől a szülők felé, a szabályok megadásának sorrendjében.

Szülőtől az alsóbb szintek felé, a Deny szabályok az Allow szabályok előtt, azon belül a szabályok megadásának sorrendjében.

IIS Manager támogatás

Nincs

Authorization Rules modul

Konfigurációs szekció

system.web / authorization

system.webServer / security / authorization

Modul

System.Web.Security.UrlAuthorization

%windir%system32inetsrvurlauthz.dll

Védett tartalom

Csak managed handler (kikapcsolható a preCondition=”managedHandler” attribútummal).

Minden tartalom.

További információk

2 thoughts on “Hitelesítés és hozzáférés szabályozás az IIS 7-ben

  1. Visszajelzés: NTFS jogot az IIS AppPool accountnak « Balássy György szakmai blogja

  2. Visszajelzés: IIS AppPool kontra SQL Server Agent « Balássy György szakmai blogja

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s