Проверка подлинности Windows не указана

Обновлено: 21.11.2024

Элемент определяет параметры конфигурации для модуля проверки подлинности Windows Internet Information Services (IIS) 7. Вы можете использовать проверку подлинности Windows, если ваш сервер IIS 7 работает в корпоративной сети, которая использует удостоверения домена службы Microsoft Active Directory или другие учетные записи Windows для идентификации пользователей. Поэтому вы можете использовать проверку подлинности Windows независимо от того, является ли ваш сервер членом домена Active Directory или нет.

Проверка подлинности Windows (прежнее название NTLM, а также проверка подлинности Windows NT Challenge/Response) – это безопасная форма проверки подлинности, поскольку имя пользователя и пароль перед отправкой по сети хешируются. Когда вы включаете проверку подлинности Windows, браузер клиента отправляет строго хешированную версию пароля в криптографическом обмене с вашим веб-сервером.

Аутентификация Windows поддерживает два протокола аутентификации, Kerberos и NTLM, которые определены в

элемент. При установке и включении проверки подлинности Windows в IIS 7 по умолчанию используется протокол Kerberos. Этот элемент также может содержать атрибут useKernelMode, который настраивает, следует ли использовать функцию проверки подлинности в режиме ядра, которая является новой для Windows Server 2008.

Аутентификация Windows лучше всего подходит для среды интрасети по следующим причинам:

Новое в IIS 7.5

Элемент был представлен в IIS 7.5 и позволяет настраивать параметры новых функций расширенной защиты, интегрированных в проверку подлинности Windows.

Совместимость

Версия Примечания
IIS 10.0 Элемент не был изменен в IIS 10.0.
IIS 8.5 Элемент не был изменен в IIS 8.5.
IIS 8.0 Элемент не был изменен в IIS 8.0.
IIS 7.5 Элемент был добавлен в IIS 7.5.
IIS 7.0 Элемент появился в IIS 7.0.
IIS 6.0< /td> Элемент заменяет части свойств метабазы ​​AuthType и AuthFlags IIS 6.0.

Настройка

Установка IIS 7 и более поздних версий по умолчанию не включает службу роли проверки подлинности Windows. Чтобы использовать проверку подлинности Windows в IIS, необходимо установить службу роли, отключить анонимную проверку подлинности для своего веб-сайта или приложения, а затем включить проверку подлинности Windows для сайта или приложения.

После установки службы ролей IIS 7 фиксирует следующие параметры конфигурации в файле ApplicationHost.config.

Windows Server 2012 или Windows Server 2012 R2

  1. На панели задач нажмите "Диспетчер серверов".
  2. В диспетчере серверов откройте меню "Управление" и выберите "Добавить роли и компоненты".
  3. В мастере добавления ролей и компонентов нажмите "Далее". Выберите тип установки и нажмите «Далее». Выберите целевой сервер и нажмите "Далее".
  4. На странице "Роли сервера" разверните узел "Веб-сервер (IIS)", разверните узел "Веб-сервер", разверните узел "Безопасность" и выберите "Проверка подлинности Windows". Нажмите кнопку "Далее.
    .
  5. На странице "Выбор функций" нажмите "Далее".
  6. На странице "Подтверждение выбора установки" нажмите "Установить".
  7. На странице результатов нажмите "Закрыть".

    8. Windows 8 или Windows 8.1

    1. На начальном экране переместите указатель до конца в левый нижний угол, щелкните правой кнопкой мыши кнопку "Пуск" и выберите "Панель управления".
    2. На панели управления нажмите "Программы и компоненты", а затем нажмите "Включение или отключение компонентов Windows".
    3. Разверните Информационные службы Интернета, разверните Всемирные веб-службы, разверните Безопасность и выберите Проверка подлинности Windows.
    4. Нажмите "ОК".
    5. Нажмите "Закрыть".

      6. Windows Server 2008 или Windows Server 2008 R2

      1. На панели задач нажмите "Пуск", выберите "Администрирование", а затем нажмите "Диспетчер серверов".
      2. На панели иерархии диспетчера серверов разверните Роли и щелкните Веб-сервер (IIS).
      3. На панели веб-сервера (IIS) прокрутите до раздела Службы ролей и нажмите Добавить службы ролей.
      4. На странице "Выбор служб ролей" мастера добавления служб ролей выберите "Проверка подлинности Windows" и нажмите "Далее".
      5. На странице "Подтверждение выбора установки" нажмите "Установить".
      6. На странице результатов нажмите "Закрыть".

        7. Windows Vista или Windows 7

        Как

        Как включить аутентификацию Windows для веб-сайта, веб-приложения или веб-службы

        Открыть диспетчер информационных служб Интернета (IIS):

        Если вы используете Windows Server 2012 или Windows Server 2012 R2:

        • На панели задач нажмите "Диспетчер серверов", выберите "Сервис", а затем нажмите "Диспетчер информационных служб Интернета (IIS)".

        Если вы используете Windows 8 или Windows 8.1:

        • Удерживая нажатой клавишу Windows, нажмите букву X и выберите "Панель управления".
        • Нажмите "Администрирование", а затем дважды щелкните "Диспетчер информационных служб Интернета (IIS)".

        Если вы используете Windows Server 2008 или Windows Server 2008 R2:

        • На панели задач нажмите "Пуск", выберите "Администрирование" и выберите "Диспетчер информационных служб Интернета (IIS)".

        Если вы используете Windows Vista или Windows 7:

        • На панели задач нажмите "Пуск", а затем выберите "Панель управления".
        • Дважды щелкните "Администрирование", а затем дважды щелкните "Диспетчер информационных служб Интернета (IIS)".

        На панели «Подключения» разверните имя сервера, разверните узел «Сайты», а затем — сайт, приложение или веб-службу, для которых вы хотите включить проверку подлинности Windows.

        Прокрутите до раздела "Безопасность" на главной панели и дважды щелкните "Аутентификация".

        На панели «Аутентификация» выберите «Аутентификация Windows», а затем нажмите «Включить» на панели «Действия».

        Как включить расширенную защиту для проверки подлинности Windows

        Открыть диспетчер информационных служб Интернета (IIS):

        Если вы используете Windows Server 2012 или Windows Server 2012 R2:

        • На панели задач нажмите "Диспетчер серверов", выберите "Сервис", а затем нажмите "Диспетчер информационных служб Интернета (IIS)".

        Если вы используете Windows 8 или Windows 8.1:

        • Удерживая нажатой клавишу Windows, нажмите букву X и выберите "Панель управления".
        • Нажмите "Администрирование", а затем дважды щелкните "Диспетчер информационных служб Интернета (IIS)".

        Если вы используете Windows Server 2008 или Windows Server 2008 R2:

        • На панели задач нажмите "Пуск", выберите "Администрирование" и выберите "Диспетчер информационных служб Интернета (IIS)".

        Если вы используете Windows Vista или Windows 7:

        • На панели задач нажмите "Пуск", а затем выберите "Панель управления".
        • Дважды щелкните "Администрирование", а затем дважды щелкните "Диспетчер информационных служб Интернета (IIS)".

        На панели «Подключения» разверните имя сервера, разверните узел «Сайты», а затем — сайт, приложение или веб-службу, для которых вы хотите включить расширенную защиту для проверки подлинности Windows.

        Прокрутите до раздела "Безопасность" на главной панели и дважды щелкните "Аутентификация".

        На панели "Аутентификация" выберите "Аутентификация Windows".

        Нажмите «Включить» на панели «Действия».

        Нажмите «Дополнительные настройки» на панели «Действия».

        Когда появится диалоговое окно "Дополнительные параметры", выберите один из следующих параметров в раскрывающемся меню "Расширенная защита":

        • Выберите «Принять», если вы хотите включить расширенную защиту, предоставляя поддержку нижнего уровня для клиентов, которые не поддерживают расширенную защиту.
        • Выберите «Обязательно», если хотите включить расширенную защиту без предоставления поддержки нижнего уровня.

        Нажмите "ОК", чтобы закрыть диалоговое окно "Дополнительные параметры".

        Конфигурация

        Элемент настраивается на уровне сайта, приложения или виртуального каталога в файле ApplicationHost.config.

        Атрибуты

        Атрибут Описание
        authPersistNonNTLM Необязательный логический атрибут .

        Указывает, выполняет ли IIS автоматическую повторную проверку подлинности для каждого запроса, отличного от NTLM (например, Kerberos), даже для тех, которые находятся в одном и том же соединении. False включает несколько аутентификаций для одних и тех же подключений.

        Примечание. Значение true означает, что клиент будет аутентифицирован только один раз в одном и том же соединении. IIS кэширует токен или билет на сервере для сеанса TCP, который остается установленным.

        Установка этого флага в значение true указывает, что проверка подлинности сохраняется только для одного запроса в соединении. IIS сбрасывает аутентификацию в конце каждого запроса и принудительно выполняет повторную аутентификацию при следующем запросе сеанса.

        Указывает, включена ли проверка подлинности Windows.

        Указывает, выполняется ли аутентификация Windows в режиме ядра. True указывает, что проверка подлинности Windows использует режим ядра.

        Проверка подлинности в режиме ядра может повысить производительность проверки подлинности и предотвратить проблемы с проверкой подлинности в пулах приложений, настроенных на использование пользовательского удостоверения.

        Рекомендуется не отключать этот параметр, если вы используете проверку подлинности Kerberos и имеете собственное удостоверение в пуле приложений.

        Дочерние элементы

        Элемент Описание
        extendedProtection Необязательный элемент.

        Указывает параметры расширенной защиты для проверки подлинности Windows.

        Пример конфигурации

        Следующий элемент по умолчанию настраивается в корневом файле ApplicationHost.config в IIS 7.0 и по умолчанию отключает проверку подлинности Windows. Он также определяет двух поставщиков проверки подлинности Windows для IIS 7.0.

        В следующем примере включена проверка подлинности Windows и отключена анонимная проверка подлинности для веб-сайта Contoso.

        Пример кода

        В следующих примерах отключается анонимная проверка подлинности для сайта Contoso, а затем включается проверка подлинности Windows для этого сайта.

        Kentico поддерживает встроенную проверку подлинности Windows. Это означает, что когда пользователь входит в домен Windows, Kentico автоматически распознает его личность, не требуя имени пользователя и пароля.

        Необходимое условие

        Чтобы проверка подлинности Windows работала, приложение должно иметь доступ к следующим атрибутам пользовательских объектов в Active Directory (т. е. атрибуты не могут быть защищенными или конфиденциальными):

        Когда аутентифицированный пользователь заходит на сайт, настроенный для аутентификации Windows, система автоматически создает соответствующую учетную запись пользователя в базе данных Kentico.

        Кроме того, система импортирует доменные группы пользователя в качестве ролей. Если существующий пользователь добавляется в новые группы в Active Directory, Kentico импортирует новые роли (обновление происходит при повторной аутентификации, т.е. после истечения сеанса пользователя). Однако существующие роли не удаляются у пользователей в Kentico, когда соответствующие пользователи в Active Directory удаляются из групп.

        Импортированные роли по умолчанию не разрешают пользователям выполнять какие-либо действия в Kentico. Вам необходимо настроить разрешения и параметры персонализации пользовательского интерфейса для импортированных ролей вручную, если вы хотите их использовать.

        Отключение автоматического импорта ролей

        Если вы хотите отключить автоматический импорт групп пользователей домена в качестве ролей в Kentico, добавьте следующий ключ в раздел /configuration/appSettings файла web.config вашего проекта:

        Настройка аутентификации Windows

        Выполните следующие действия, чтобы переключить приложение в режим аутентификации Windows:

        Установите для атрибута режима элемента в разделе значение Windows:

        (Необязательно) Вы также можете сделать аутентификацию Windows обязательной для доступа к действующему сайту. Чтобы добиться этого результата, раскомментируйте следующий элемент в файле web.config:

        Если вы хотите требовать проверки подлинности Windows только для части работающего веб-сайта, см. раздел «Защита веб-сайта с помощью проверки подлинности Windows».

        • Если вы столкнулись с ошибкой 401, перейдите к разделу Включение проверки подлинности Windows в IIS ниже.

        При такой конфигурации система автоматически аутентифицирует пользователей из Windows Active Directory и импортирует их в базу данных Kentico.

        Вам необходимо вручную настроить доступ администратора для новой учетной записи пользователя AD.

        Кнопка выхода отсутствует при проверке подлинности Windows

        Если включена проверка подлинности Windows, кнопка «Выход» в меню пользователя в правом верхнем углу административного интерфейса не отображается. То же самое относится и к действующему сайту, где ссылка для выхода отображается не во всех веб-частях, которые можно использовать для выхода.

        Включение проверки подлинности Windows в IIS

        Если вы столкнулись с ошибкой 401 при проверке подлинности Windows, вам необходимо включить проверку подлинности Windows в IIS:

        1. Запустите диспетчер информационных служб Интернета (IIS).
        2. Найдите и выберите свой сайт в дереве IIS.

        Дважды щелкните значок аутентификации.

        Проверка подлинности Windows отсутствует в списке

        Если ваша установка IIS не содержит проверку подлинности Windows по умолчанию, вам необходимо установить ее:

        1. Перейдите в Панель управления -> Программы и компоненты -> Включение или отключение компонентов Windows.
        2. Разверните Информационные службы Интернета -> Службы World Wide Web.
        3. В разделе "Безопасность" установите флажок "Проверка подлинности Windows".
        4. Нажмите "ОК", чтобы завершить настройку.

        Проверка подлинности Windows отображается как параметр в настройках проверки подлинности веб-сайта IIS.

        IIS теперь разрешает аутентификацию Windows на вашем сайте.

        Настройка доступа администратора после включения аутентификации Windows

        При первом доступе к интерфейсу администрирования Kentico ( /admin) после настройки проверки подлинности Windows вы увидите сообщение Отказано в доступе. Аутентификация Windows регистрирует вас под новой учетной записью пользователя, которая автоматически создается системой на основе вашего имени пользователя Active Directory, но эта учетная запись не имеет никаких разрешений.

        Чтобы разрешить доступ ко всем функциям в качестве администратора при проверке подлинности Windows, вам необходимо вручную предоставить права администратора для вашей новой учетной записи пользователя:

        1. По крайней мере один раз войдите в интерфейс администрирования Kentico под аутентификацией Windows (чтобы убедиться, что система импортирует вашего пользователя AD).
        2. Отредактируйте файл web.config проекта и вернитесь к проверке подлинности с помощью форм (установите атрибут режима элемента в разделе обратно на формы).
        3. Снова войдите в систему администрирования Kentico, используя проверку подлинности с помощью форм (под своей исходной учетной записью администратора).
        4. Откройте приложение "Пользователи".
        5. Редактируйте нового пользователя, который соответствует имени пользователя вашего домена (формат имя-пользователя-домена, например office-johns).
        6. На вкладке "Общие" установите для уровня прав доступа значение Глобальный администратор.
        7. Нажмите «Сохранить» и выйдите из системы.
        8. Отредактируйте файл web.config и снова переключитесь на аутентификацию Windows.

        Закройте все браузеры с помощью Kentico, откройте веб-сайт в новом браузере и войдите в интерфейс администрирования. Убедитесь, что система распознает вас как глобального администратора без необходимости входа в систему вручную.

        Запрещенная замена символов при импорте Active Directory

        При импорте пользователей и ролей запрещенные символы в именах заменяются на символы, определенные в Настройки -> URL-адреса и SEO -> Замена запрещенных символов.

        Значением по умолчанию является дефис "-" (домен-имя-пользователя вместо домен\имя-пользователя). Если вы используете другой символ, измените введенное имя пользователя соответствующим образом.

        Многие приложения, с которыми я работаю, даже те, которые я помогаю разрабатывать здесь, в STEALTHbits Technologies, используют собственный MS IIS для публикации отчетов. По умолчанию, когда вы создаете новый веб-сайт IIS, он обычно открыт для всех с включенным анонимным доступом, что означает, что любой может получить доступ и просмотреть данные, размещенные на этом сайте. Очевидно, что это проблема безопасности для большинства людей, и клиенты и коллеги часто спрашивают меня, как заблокировать и защитить сайт IIS, чтобы только нужные люди могли получить к нему доступ. Ответ довольно прост, чтобы защитить этот сайт, все, что нужно сделать, это изменить собственные разрешения на сайте IIS, включить аутентификацию Windows и отключить анонимный доступ. Ниже пример с моей машины. Шаг 1: (Выберите свой сайт, возможно, «Веб-сайт по умолчанию», и выберите «Аутентификация»). В моем случае, как вы видите, у меня много сайтов IIS, эти инструкции действительны практически для любого сайта IIS. Шаг 2: (Отключите анонимность и включите проверку подлинности Windows.) Если у вас нет проверки подлинности Windows в качестве опции, вам придется добавить эту функцию из диспетчера серверов в разделе «Роли / службы» для IIS» EX. Функция проверки подлинности IIS Win в IIS

        Если у вас уже установлена ​​проверка подлинности Windows для IIS, вам следует настроить параметр проверки подлинности для этого сайта следующим образом.

        Шаг 3. Вы должны изменить разрешения веб-сайта. Я бы сначала разорвал наследование и лишил «Пользователей» любого доступа.Таким образом, остаются позади любые участники безопасности администратора по умолчанию, у которых есть доступ. Для одноразовых пользователей вы можете просто добавить их обратно в стек разрешений здесь с базовым доступом только для чтения. Примечание. Я сделал это для «Фрэнка», чтобы он мог читать мои отчеты. Обычно большинство людей предоставляют доступ к сайту определенной группе для чтения.

        Щелкните правой кнопкой мыши по сайту и выберите «Изменить разрешения».

        Далее нажмите "Дополнительно".

        Затем выберите «Изменить разрешения».

        Теперь снимите флажок «Включить наследуемые разрешения от этого родительского объекта»

        При появлении запроса с ПРЕДУПРЕЖДЕНИЕМ выберите ДОБАВИТЬ. Это просто копирует существующие разрешения обратно без наследования, это очень важно, чтобы не сломать веб-сайт для себя и системы в целом.

        Далее удалите разрешение для пользователей. Это отключит возможность для любых пользователей домена просто аутентифицироваться на вашем сайте для просмотра отчетов. Кроме того, этот набор разрешений по умолчанию теперь позволяет локальным администраторам и членам IIS_IUSRS входить в систему и просматривать отчеты. Этот набор базовых разрешений может варьироваться от ОС к ОС. На этом этапе вы также должны дважды проверить, что у других известных участников безопасности нет доступа, таких как «Все» или «Прошедшие проверку».

        Наконец, теперь вы можете использовать базовую кнопку «Изменить», чтобы добавить простой доступ только для чтения для избранных пользователей и групп. В моем случае я предоставил Фрэнку доступ для чтения к моим отчетам. Для базового использования сайта не требуется ничего, кроме доступа для чтения. Не давайте пользователям права на изменение или полный доступ, если в этом нет особой необходимости.

        Советы и примечания:

        Это было протестировано на Windows 2008 и Win 7, мне не нужно было переустанавливать IIS, чтобы какие-либо из этих изменений начали работать.

        В зависимости от вашей среды и домена ваша установка IIS может использовать либо Kerberos, либо NTLM для проверки подлинности Windows. Форсирование более сильного протокола Kerberos — это тема для отдельного блога, и это может быть даже невозможно в зависимости от конфигурации вашего домена. Будем надеяться, что, как минимум, если и сервер, и клиент являются частью хорошо сконфигурированного домена, сначала будет согласован протокол Kerberos, но имейте в виду, что NTLM по-прежнему присутствует почти везде в качестве запасного варианта.

        Узнайте, как STEALTHbits обеспечивает безопасность Windows с помощью StealthAUDIT для Windows.

        На этой странице мы покажем вам, как настроить среду Windows и IIS для использования NADI SSO с Kerberos.

        Если вам нужна помощь в настройке установки Next Active Directory Integration, мы предлагаем вам консультационные услуги и поддержку.
        Свяжитесь!

        Включить аутентификацию Windows

        1. Откройте диспетчер IIS и выберите сайт, на котором работает ваша среда WordPress. В нашем случае мы используем «Веб-сайт по умолчанию».
        2. После этого дважды нажмите "Аутентификация"

        Теперь вам нужно настроить параметры аутентификации вашего сайта.


        1. Отключить Анонимную аутентификацию
        2. Включить проверку подлинности Windows
        3. Выбрав Проверка подлинности Windows, нажмите ссылку Поставщики на правой панели Действие
          4. .

        Если запись Аутентификация Windows отсутствует, необходимо добавить эту функцию с помощью Диспетчера серверов Windows.
        Его можно включить в разделе Роли сервера > Веб-сервер (IIS) > Веб-сервер > Безопасность > Аутентификация Windows.

        Теперь должно появиться следующее окно. Пожалуйста, добавьте поставщиков, как показано на рисунке.Заказ должен быть Переговоры через NTLM! Согласовать означает использовать аутентификацию Kerberos.


        После этого закройте окно, нажав OK.


        1. Чтобы перейти к следующему шагу, выберите свой сайт на панели слева
          2. .
        2. После этого дважды щелкните Редактор конфигурации

        Теперь выберите *windowsAuthentication* в раскрывающемся меню

        Измените *useKernelMode* на *True* и сохраните настройки, нажав кнопку *Apply* в правом верхнем углу.

        Пожалуйста, перезапустите IIS.

        Настроить имена участников-служб

        В нашем примере мы представляем следующий сценарий

        Откройте консоль и введите hostname, чтобы увидеть имя ($ ) вашего компьютера.

        Теперь введите следующее, чтобы получить список всех имен SPN, зарегистрированных для вашего компьютера

        Это должно вывести список вроде

        Проверьте, успешно ли добавлены имена участников-служб, введя

        Если ваше имя хоста содержит порт (например, nadi-ts.test.ad:81/wordpress), не добавляйте порт в имена участников-служб. Это требуется только для более старых сред вплоть до Windows 7 и Windows Server 2008.

        Настроить браузеры

        Проверка подлинности

        Вы можете использовать Fiddler для проверки конфигурации Kerberos.

        Откройте браузер и перейдите к экземпляру WordPress, для которого ранее был включен протокол Kerberos

        В Fiddler выберите последний запрос из списка. На правой панели под Инспекторы > Заголовки > Аутентификация вы должны увидеть сообщение

        Заголовок WWW-Authenticate (Negotiate) выглядит как ответ Kerberos

        Если вы успешно вошли в свою среду WordPress, вы должны найти следующее сообщение журнала в файле nadi-debug.log

        Если вам нужна помощь в настройке установки Next Active Directory Integration, мы предлагаем вам консультационные услуги и поддержку.
        Свяжитесь!

        Читайте также: