Установка и администрирование Microsoft Internet Information Services, IIS 6.0. [Занятие 15]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Friday 29 December 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Настройка разрешений.
Для общего понимания системы безопасности IIS нужно понимать, что такое полномочия, как их конфигурировать и применять. В данном разделе рассмотрены разные уровни безопасности для управления доступом к содержимому web-узлов и FTP-сайтов в Windows Server 2003, а также изучается порядок их применения. Вы также научитесь быстро и легко защищать свои Web- и FTP-узлы при помощи Мастера разрешений IIS 6.0.
Понятие об организации безопасности в IIS.
У администраторов есть четыре способа для контроля доступа к содержимому web-узлов и FTP-узлов, хостинг которых осуществляется при помощи IIS. Эти механизмы применяются по порядку всякий раз при попытках пользователей получить доступ к имеющемуся на сервере Web- и FTP-ресурсу (файлу HTTP или другому файлу). Эта четырехступенчатая модель контроля доступа описана ниже, причем пользователь получает доступ к запрошенным ресурсам только после выполнения всех правил:
Разрешается ли доступ к ресурсу для IP-адреса или доменного имени, используемого пользователем? Если нет, то попытки доступа встречают отказ, и остальные правила не применяются. Ограничения на IP-адрес и доменное имя можно настраивать при помощи вкладки Безопасность каталога окна свойств web-узла, FTP-узла или виртуального или физического каталога, или (для файлов) при помощи вкладки Безопасность окна свойств файла. Заметьте, что окно свойств, о котором идет речь здесь и в следующих двух пунктах, применяется при доступе к объектам из окна консоли Internet Information Services.
Аутентифицирован ли пользователь? Если нет, то в доступе будет отказано, и остальные правила применяться не будут. Настройки безопасности для аутентификации можно конфигурировать при помощи вкладки Безопасность каталога окна свойств web-узла, виртуального или физического каталога, при помощи вкладки Безопасность окна свойств файла, при помощи вкладки Безопасные учетные записи окна свойств FTP-узла. Обратите внимание, что вы не сможете настроить этот уровень безопасности для виртуальных каталогов внутри FTP-узлов (его можно настраивать только для виртуальных каталогов внутри web-узлов).
Настроены ли разрешения IIS для доступа и для приложений так, чтобы пользователи могли иметь доступ к ресурсам? Если нет, то в доступе будет отказано, и остальные правила применяться не будут. Разрешения IIS для доступа и для приложений можно настраивать: при помощи вкладки Домашний каталог окна свойств web-узла или FTP-узла; - при помощи вкладки Виртуальный каталог окна свойств виртуального каталога; - при помощи вкладки Каталог окна свойств физического каталога; - при помощи вкладки Файл окна свойств файла.
Позволяют ли разрешения NTFS, относящиеся к ресурсу, доступ пользователей к ресурсу? Если нет, то в доступе будет отказано. Разрешения NTFS настраиваются как обычно, при помощи вкладки Безопасность окна свойств ресурса в Мой Компьютер.
В этой четырехступенчатой модели контроля доступа шаги 2 и 4 зависимы от пользователей, а шаги 1 и 3 независимы. Другими словами, ограничения по IP-адресу и доменному имени и разрешения IIS для доступа и для приложений являются глобальными настройками, применяемыми единообразно для всех пользователей.
Остановка, запуск и приостановка службы IIS.
Не забывайте, что отдельные Web- и FTP-узлы, созданные при помощи IIS, на самом деле являются виртуальными серверами. Это значит, что они действуют и ведут себя, как если бы они были отдельными серверами Windows Server 2003 и имели бы доступ ко всем ресурсам сервера. Благодаря этому web-узлы многих разных фирм могут размещаться на одном и том же компьютере, работающем под управлением Windows Server 2003. Но IIS на этих компьютерах приходится иногда останавливать, запускать и приостанавливать. Например, при изменении файлов на web-узле работа этого сайта обычно приостанавливается, чтобы избежать новых соединений пользователей с сайтом, а уже подключенных пользователей отсоединить по истечении некоторого позволенного им времени. Когда вы тестируете web-приложение, разработанное при помощи ASP, вам, вероятно, понадобится остановить, а затем снова запустить узел, если в процессе тестирования приложение "зависло" или перестало отвечать на запросы. Идея состоит в том, что когда на вашем сервере работает сразу много узлов, было бы хорошо не останавливать их все из-за проблем на каком-то одном из сайтов. В Windows Server 2003 предусмотрена возможность, позволяющая применять Диспетчер служб IIS для остановки отдельных Web- и FTP-узлов без необходимости остановки служб WWW и FTP публикаций для всех узлов на сервере. Для приостановки (паузы), остановки и запуска узла просто выберите в дереве консоли нужный узел и выполните одно из следующих действий:
щелкните соответствующую кнопку управления в панели инструментов;
щелкните правой кнопкой мыши узел и сделайте нужный выбор в контекстном меню;
щелкните кнопку Действие и сделайте нужный выбор в раскрывающемся меню.
Кроме того, вы можете запускать, останавливать и запускать снова сразу все Web- и FTP-узлы на вашем сервере, выбрав в дереве консоли Диспетчер служб IIS узел, представляющий сервер: щелкните кнопку Действие в панели инструментов, выберите Все задачи -> Перезапуск IIS в раскрывающемся меню. Вы можете подумать, что сразу все web-узлы, работающие на вашем компьютере, можно останавливать, остановив Службу Веб-публикаций при помощи узла Администрирование -> Службы в оснастке Управление компьютером. Так делать не надо. Служба IIS реализована не так, как другие службы Windows Server 2003, и не должна останавливаться и запускаться этим способом. И, наконец, если вы хотите перезапустить IIS из командной строки, то можете набрать с клавиатуры iisreset <Имя_компьютера>. Эту команду можно использовать и в пакетных файлах.
Использование серверных расширений FrontPage.
IIS 6.0 использует набор серверных динамических библиотек DLL, называемых "расширения FrontPage" (FrontPage Extensions), действующих со стороны сервера и служащих для поддержки дополнительных средств FrontPage Extensions, таких как возможность создавать навигационные панели, средства для поиска, для web-обсужений и т. д. Давайте теперь рассмотрим, как устанавливать серверные расширения FrontPage. В сетях, где разработчики пользуются данным популярным инструментальным средством для создания web - содержимого, эта задача относится к основным задачам администрирования web - сервера IIS. Вопросы создания содержимого мы не будем рассматривать, а покажем, как можно организовать работу сервера в сочетании с FrontPage Extensions.
Разрешение использования расширений FrontPage.
Хотя программное обеспечение, необходимое для поддержки FrontPage Extensions, уже установлено, вам все же понадобится разрешить использование расширений FrontPage на web-узлах, которыми будут пользоваться ваши разработчики содержимого FrontPage. Чтобы проиллюстрировать это, давайте возьмем web-узел МойУзел и выполним следующие действия.
Нажмите правой кнопкой мыши на узел МойУзел в дереве консоли Диспетчер служб IIS, укажите на Все задачи и выберите Configure Server Extensions 2002 (Конфигурировать серверные расширения). В результате запустится веб-страница Install.
Щелкните кнопку Submit, чтобы активизировать FrontPage Server Extensions 2002. Появится окно администрирования сервера Server Administration.
В нижней части окна показаны виртуальные серверы, которыми вы можете управлять. В верхней части окна имеются три функции, которые позволяют вам изменять права, задавать настройки и пароли пользователей:
- Set List Of Available Rights - позволяет задавать список доступных прав - Set Install Defaults - позволяет задать настройки по умолчанию для установки - Reset User Password - позволяет обновить пароль пользователя
Выберите функцию Set List Of Available Rights, чтобы перейти к странице Rights (Права). Вы можете задействовать или отменить необходимые права, установив или сняв соответствующие флажки.
Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице.
Выберите функцию Set Install Defaults, чтобы перейти к странице настроек по умолчанию. В разделе Mail Settings (Настройка почты) вы можете указать почтовый сервер, адрес отправителя и адрес для ответа, чтобы использовать их в средствах для электронной почты FrontPage Server Extensions 2002. В разделе Security Settings (Настройка безопасности) вы можете задавать авторские настройки, установку защищенных соединений SSL и разрешать авторам загрузку на сервер исполняемых файлов.
Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице.
Выберите функцию Reset User Password, чтобы перейти к странице обновления пароля. Указав имя пользователя вы можете изменить действующий пароль данного пользователя на новый.
Чтобы изменения вступили в силу нажмите кнопку Submit. После внесения изменений вернитесь к предыдущей странице.
После установки и настройки сервера FrontPage Extensions закройте окно обозревателя.
С установкой сервера FrontPage Server Extensions 2002 на вашем web-узле появится множество виртуальных и физических подкаталогов вместе с сопоставленными файлами серверных расширений. Не удаляйте эти папки и файлы, иначе это приведет к неправильной работе серверных расширений.
