NUNCA MAIS PASSE RAIVA POR NÃO CONSEGUIR RESOLVER UM PROBLEMA COM O EXCEL - GARANTIDO!
UNIVERSIDADE DO VBA - Domine o VBA no Excel Criando Sistemas Completos - Passo a Passo - CLIQUE AQUI
« Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
ASP.NET - CURSO COMPLETO Autor: Júlio Battisti |
||
---|---|---|
Lição 112 - Capítulo 14 - Autenticação de usuários com o IIS 5.0 | ||
Quando um usuário tenta acessar uma página, a primeira coisa que o servidor precisa determinar é a identidade deste usuário, isto é, o IIS precisa conhecer “quem” está tentando acessar a página. Uma das maneiras de saber quem é o usuário que está acessando o site, é através da utilização de um Username e senha. Porém não seria nada “simpático” apresentar uma tela de logon para o usuário a primeira vez que ele está acessando o site. Até mesmo nas próximas tentativas de acesso, a necessidade de log on pode acabar afastando o internauta. Através da autenticação do usuário, podem ser definidos os níveis de acesso a informação que o mesmo terá, bem como podem ser feitos registros das ações realizadas pelo usuário, mediante a gravação de logs de acesso. Existem diversos tipos de autenticação possíveis com o IIS. Passaremos a estudá-los individualmente. Os tipos de autenticação que estudaremos são os seguintes: • Autenticação anônima. Autenticação anônima. Um tipo de autenticação bastante comum é o que permite o acesso anônimo. O IIS permite que seja configurado um tipo de acesso chamado Acesso anônimo, no qual não é necessário que o usuário forneça um Username e senha para ter acesso ao site. Este acesso anônimo está ligado a uma única Conta de usuário do Windows 2000 Server. Todo o usuário que acessar um site configurado para permitir Acesso anônimo, será identificado como se estivesse autenticado usando a Conta de usuário configurada para o acesso anônimo. A conta de usuário para Acesso anônimo é automaticamente criada quando instalamos o Internet Information Services 5.0. Por padrão esta conta possui o seguinte nome: IUSR_NOME_DO_COMPUTADOR Por exemplo, ao instalarmos o IIS em um servidor chamado SERVIDOR, será criada a seguinte conta para permitir o Acesso anônimo: IUSR_SERVIDOR A autenticação anônima fornece aos usuários acesso a áreas públicas do seu site, sem solicitar um nome de usuário ou uma senha. Por padrão, a conta IUSR_NOME_DO_COMPUTADOR R é incluída no grupo de usuários “Convidados”. Esse grupo tem restrições de segurança, impostas pelas permissões do NTFS (sistema de arquivos do Windows 2000 que possui recursos de segurança mais avançados do que o sistema FAT ou FAT32) , que designam o nível de acesso e o tipo de conteúdo disponível para os usuários públicos. Com isso o usuário possui limitações sobre os recursos que ele pode acessar no servidor, sendo que estas limitações já atuam como um nível inicial de segurança. Se existem vários sites no seu servidor ou áreas no seu site que exigem privilégios de acesso diferentes, você pode criar várias contas anônimas, uma para cada área site, diretório ou arquivo. O IIS usa a conta IUSR_NOME_DO_COMPUTADOR da seguinte forma: 1. A conta IUSR_NOME_DO_COMPUTADOR é adicionada ao grupo Convidados no computador ou do Domínio, conforme descrito anteriormente. Veremos sobre os outros métodos de autenticação ainda neste capítulo. Na Figura 14.1, temos uma representação desta seqüência para o acesso anônimo.
• Se a autenticação anônima for ativada, o IIS tentará sempre a autenticação anônima, usando-a primeiro, mesmo se outros métodos forem ativados. • Em alguns casos, o navegador solicitará ao usuário um nome de usuário e uma senha. • A conta anônima deve ter o seguinte direito de usuário: “Efetuar logon localmente”. Se a conta não tiver a permissão “Efetuar logon localmente”, o IIS não poderá atender qualquer solicitação anônima. Ao instalarmos o IIS, automaticamente, a permissão “Efetuar logon localmente” é concedida à conta IUSR_NOME_DO_COMPUTADOR. As contas IUSR_NOME_DO_COMPUTADOR em controladores de domínio não são adicionadas ao grupo Convidados do domínio, por padrão e devem ser alteradas para Efetuar logon localmente a fim de permitir logon anônimo. Agora vamos aprender a efetuar as seguintes atividades práticas: • Definir a conta para acesso anônimo no IIS. Estas atividades são importantes, não só para as configurações do acesso anônimo, mas para a configuração de qualquer tipo de acesso. Para informações mais detalhadas sobre estes itens, consulte o livro “Série Curso Básico & Rápido Microsoft Windows 2000 Server” de minha autoria, publicado pela editora Axcel Books. Como definir a conta para acesso anônimo no IIS 5.0. Para definir qual conta será utilizada para o acesso anônimo siga os seguintes passos: 1. Faça o log on no Windows 2000 Server, com permissões de administrador.
4. Esta é a janela do console de administração do IIS 5.0.
7. Podemos configurar o acesso anônimo para todos as aplicações Web contidos no Servidor ou para cada aplicação individualmente. Inclusive podemos configurar diferentes contas do Windows 2000 Server, para serem utilizadas para o acesso anônimo em diferentes áreas do site. Podemos configurar uma conta a nível do Servidor Web, de cada aplicação e até mesmo para uma pasta dentro de uma aplicação. Com isso poderíamos ter diferentes pastas, dentro de uma mesma aplicação Web (que para o IIS é representada por uma pasta virtual, com diferentes contas para acesso anônimo.
11. Dê um clique na guia Segurança de pasta. Serão exibidas as opções indicadas na Figura 14.5.
12. A primeira opção desta guia é Controle de acesso anônimo e autenticação. Dê um clique no botão Editar, ao lado desta opção. Surge a janela Métodos de autenticação, indicada na Figura 14.6.
13. A primeira opção desta janela é Acesso anônimo. Para que o acesso anônimo seja permitido, esta opção deve estar marcada.
16. Nesta janela você pode definir a conta que será utilizada para o acesso anônimo. Observe que por padrão é definida a conta IUSR_NOME_DO_COMPUTADOR. No exemplo da Figura 9.7, aparece IUSR_SERVIDOR, pois o computador que estou utilizando para escrever este livro tem o nome de SERVIDOR, conforme já descrito em outras oportunidades. Permitir que o IIS controle a senha: Esta opção quando selecionada, permito ao IIS sincronizar automaticamente as configurações de senha anônima com aquelas definidas no Windows 2000 . Se a senha fornecida à conta anônima e a senha do Windows para a conta forem diferentes, a autenticação anônima não funcionará. Este é um dos erros mais comuns e a causa mais freqüente de indisponibilidade de um site IIS. Por algum motivo esta opção não está marcada, com isso é preciso digitar a senha para a conta IUSR_NOME_DO_COMPUTADOR. O usuário digita a senha e OK. Porém mais adiante, por algum motivo ou por solicitação do Administrador do IIS, a senha para esta conta é alterada no Windows 2000. Como a sincronização não está ativada, o IIS continua tentando usar a senha antiga. Como as duas senhas estão diferentes o acesso é negado e o usuário recebe uma mensagem de acesso negado ao tentar acessar o site. IMPORTANTE! A sincronização de senhas deve ser usada somente com contas de usuário anônimas definidas no computador local e não com contas anônimas de computadores remotos. 19. Após ter configurado as informações para a conta de acesso anônimo, dê um clique em OK. Para definir uma conta de acesso anônimo diferente para uma das aplicações Web do site, ou até mesmo para uma subpasta de uma aplicação Web, basta repetir os passos indicados. Verificando as configurações da conta para acesso anônimo no Windows 2000 Server. Conforme descrito anteriormente, a conta IUSR_NOME_DO_COMPUTADOR, deve ter algumas configurações especiais (relativas a permissões e direitos), definidas no Windows 2000 Server. Agora veremos como conferir se as configurações para esta conta estão corretas. Vamos verificar duas configurações a respeito desta conta: • A que Grupos de usuários do Windows 2000 pertence esta conta. Para verificar a que grupos pertence a conta IUSR_NOME_DO_COMPUTADOR: 1. Faça o log on no Windows 2000 Server, com permissões de administrador. Se o servidor que você estiver utilizando for um controlador de domínio, você deve abrir o Console para gerenciamento do Active Directory. As opções que surgem podem ser um pouco diferentes das apresentadas neste passo-a-passo. 3. Surge a janela indicada na Figura 14.8
4. Dê um clique no sinal de + ao lado da opção Ferramentas de sistema, para abri-la.
7. Dê um clique na opção Usuários. Surge, no painel da direita, uma listagem com o nome de todos os usuários, conforme indicado na Figura 14.10.
8. Na lista de usuários, do painel da direita, localize o usuário IUSR_NOME_DO_COMPUTADOR e dê um clique duplo sobre o mesmo para abrir a janela de propriedades do usuário, coforme indicado na Figura 14.11. No nosso exemplo é o usuário IUSR_SERVIDOR, pois conforme descrito anteriormente, o computador que estou utilizando é chamado SERVIDOR.
9. Para saber a quais grupos o usuário pertence, dê um clique na guia Participante de (ou Membro de, se for um Controlador de Domínio). Podemos conferir que o usuário IUSR_SERVIDOR somente pertence ao grupo Convidados. Se estivéssemos em um Servidor que atua como Controlador de domínio, teríamos o grupo Convidados do domínio. Para informações mais detalhadas sobre Controladores de domínio e Active Directory, consulte o livro “Série Curso Básico & Rápido Microsoft Windows 2000 Server” de minha autoria, publicado pela editora Axcel Books. 10. Quando o IIS é instalado, a conta IUSR_SERVIDOR é criada e automaticamente adicionada ao grupo Convidados. 12. Clique no botão OK para fechar a janela com as propriedades da conta IUSR_SERVIDOR. Agora precisamos verificar se a conta IUSR_SERVIDOR tem a permissão para Efetuar logon local. Para verificar se a conta IUSR_SERVIDOR tem a permissão para Efetuar logon local, faça o seguinte:. 1. Faça o log on no Windows 2000 Server, com permissões de administrador. Se o servidor que você estiver utilizando for um controlador de domínio, você deve abrir o Console para gerenciamento do Active Directory. As opções que surgem podem ser um pouco diferentes das apresentadas neste passo-a-passo. 3. Surge a janela indicada na Figura 14.12.
4. Dê um clique no sinal de + ao lado da opção Diretivas locais, para abri-la.
7. No painel da direita surgem as diversas permissões disponíveis.
9. Dê um clique duplo sobre a permissão Efetuar logon local, para exibir a janela de configurações para esta Diretiva de segurança local. Nesta janela surge uma lista dos usuários que possuem a permissão de Efetuar logon local, conforme indicado na Figura 14.15. O usuário IUSR_SERVIDOR deve fazer parte da lista.
10. Caso o usuário IUSR_SERVIDOR não estivesse na lista, você poderia adicioná-lo utilizando o botão Adicionar... Com isso já sabemos que a conta para acesso anônimo está configurada corretamente. No próximo item vamos retirar as permissões NTFS da conta de acesso anônimo de uma das aplicações Web do servidor. Vamos tentar acessar esta aplicação e observar os resultados obtidos. Configurando permissões NTFS em pastas do servidor Web. Uma das medidas básicas de segurança é a utilização de drives formatados com o sistema de arquivos NTFS, ao invés de FAT e FAT32. O motivo é bastante simples, pois através da utilização do sistema de arquivos NTFS, podemos ter um controle bastante refinado sobre o acesso as informações, mediante a atribuição de permissões de pasta e de arquivos. Quando estamos tratando de permissões NTFS, já estamos em um nível de segurança que é gerenciado pelo Sistema Operacional. É através da utilização do Windows 2000 Server que definimos permissões NTFS. Isso reforça o fato de que a segurança é tanto responsabilidade do grupo de Desenvolvimento, quanto do Administrador da rede. No exemplo do acesso anônimo, o usuário é identificado para o Windows 2000, como se fosse o usuário IUSR_NOME_DA_MAQUINA. Este usuário somente terá acesso as pastas e arquivos para os quais o usuário IUSR_NOME_DA_MAQUINA tiver permissões de acesso e com os níveis de permissões definidos. Antes de aprendermos a definir permissões NTFS vamos aprender um pouco mais sobre as mesmas. Sistemas de arquivos no Windows 2000 e permissões NTFS. Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows 2000 Server reconhece e também sobre permissões NTFS. Um sistema de arquivos determina a maneira como o Windows 2000 Server organiza e recupera as informações no disco rígido ou em outros tipos de mídia. O Windows 2000 Server reconhece os seguintes sistemas de arquivos:
O sistema FAT vem desde a época do DOS e tem sido mantido por questões de compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos ( DOS, Windows 3.x e as primeiras versões do Windows 95 ) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, não tem efeito no caso de acessos pela Internet, através do IIS. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão, criptografia e auditoria , não estão disponíveis. O sistema FAT32 apresenta algumas melhoras em relação ao sistema FAT. Existe um melhor aproveitamento do espaço em disco, e com isso, um menor desperdício. Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT Server 4.0. . Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, criptografia e auditoria , não estão disponíveis. O sistema de arquivos NTFS é utilizado no Windows NT Server 4.0 e foi mantido e melhorado no Windows 2000 Server, por questões de compatibilidade, já que uma nova versão do NTFS foi introduzida com o Windows 2000 - NTFS 5. É um sistema bem mais eficiente do que FAT e FAT32, além de permitir uma série de recursos avançados, tais como: • Permissões a nível de arquivos e pastas Uma das principais vantagens do NTFS é que o mesmo permite que sejam definidas permissões de acesso a nível de arquivo e de pastas, isto é, posso ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo está gravado, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente. No Windows 2000 Server, conforme descrito anteriormente, temos também o NTFS 5, o qual apresenta diversas melhorias em relação ao NTFS, tais como: • Criptografia de arquivos e pastas (A criptografia é uma maneira de “embaralhar” a informação de tal forma que mesmo que um arquivo seja copiado, o mesmo se torna ininteligível, a não ser para a pessoa que possui a “chave” para descriptografar o arquivo). Um inconveniente do NTFS 5 , é que ele não é reconhecido pelas versões anteriores, tais como o Windows NT Server 4.0 (somente com Service Pack 4.0 ou superior). Caso você possua uma rede na qual estão presentes servidores com o Windows 2000 Server e com o Windows NT Server 4.0, planeje com bastante cuidado a utilização do NTFS 5. Conforme descrito anteriormente, podemos definir permissões de acesso a nível da pasta ou arquivo, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na versão do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server ). Por isso que é aconselhável instalar o Windows 2000 Server sempre em unidades formatadas com NTFS, pois isso melhora a segurança. Com relação as permissões NTFS, temos um conjunto diferente de permissões quando tratamos de pastas ou arquivos. Nas Tabelas 14.1(para pastas) e 14.2 ( para arquivos) , são apresentadas as permissões e o nível de acesso para cada uma delas.
TABELA= Tabela 14.1 Permissões NTFS para pastas TTA• Permissão TTAB= Nível de acesso
TABELA= Tabela 14.2 Permissões NTFS para arquivos. TTA• Permissão TTAB= Nível de acesso
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma “Lista de controle de acesso” (Access Control List ) – ACL. Nesta ACL fica uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para o recurso, bem como o nível de acesso de cada um deles. Existem alguns detalhes que devemos observar sobre permissões NTFS: • Permissões NTFS são cumulativas, isto é , se um usuário pertence a mais de um grupo, o qual tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das permissões. • Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas. Por exemplo se um usuário têm permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o arquivo tem prioridade sobre a permissão para a pasta. • Negar uma permissão NTFS tem prioridade sobre permitir. Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi dado permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois Negar tem prioridade sobre Permitir. Agora que já conhecemos um pouco mais sobre permissões NTFS, podemos aprender como configurar estas permissões. Definindo permissões NTFS. Neste exemplo prático vamos fazer o seguinte: • Vamos retirar as permissões NTFS do usuário IUSR_SERVIDOR da pasta de um aplicativo Web. Para acessar as permissões NTFS de uma pasta e retirar as permissões do usuário IUSR_SERVIDOR, faça o seguinte: 1. Faça o log on com privilégios de Administrador.
5. Dê um clique na guia segurança.
7. Observe que a conta com a descrição “Conta de convidado da Internet” é a conta para acesso anônimo, que no nosso exemplo é IUSR_SERVIDOR. Somente possuem permissão de acesso, as contas que fazem parte desta lista.
9. Observe que a conta para acesso anônimo, possui permissão somente de leitura.
18. Dê um clique no botão OK para fechar esta janela. Para testar se o acesso realmente foi retirado. Agora que retiramos as permissões do usuário anônimo, se alguém tentar acessar algum arquivo que está na pasta cujas permissões foram retiradas, irá receber uma mensagem de erro, conforme indicado na Figura 14.20.
Veja que a mensagem informa que o acesso à página solicitada foi negado. Isto acontece porque o usuário IUSR_SERVIDOR não possui as permissões NTFS necessárias. IMPORTANTE! Caso você teste o acesso localmente no servidor onde a página está gravada e a autenticação integrada esteja habilitada, você terá acesso a página. Isto acontece porque primeiro o IIS tenta acesso com a autenticação anônima. Não obtém sucesso. Se a autenticação integrada (a autenticação integrada utiliza a conta do Windows que você utilizou para fazer o log on) estiver habilitada o IIS tenta utilizá-la. Caso a conta que você utilizou para fazer o logon tenha permissão de acesso à página, o IIS libera o acesso. Isto também é válido para usuários da sua rede local que fizeram o logon em um domínio do Windows NT Server 4.0 ou do Windows 2000 e cujas contas ou grupos a que pertencem, possuam permissão de acesso para o arquivo solicitado. Nos próximos itens veremos mais sobre a autenticação integrada. Agora vamos restaurar as permissões NTFS para o usuário IUSR_SERVIDOR e testar para ver se ele voltou a ter acesso. Para atribuir novamente as permissões NTFS para o usuário IUSR_SERVIDOR. 1. Utilizando o Windows Explorer, localize a pasta cujas permissões NTFS serão alteradas.
5. Observe que a conta com a descrição “Conta de convidado da Internet” é a conta para acesso anônimo, que no nosso exemplo é IUSR_SERVIDOR. e que esta conta não aparece na lista de usuários, portanto a mesma não possui permissões de acesso.
7. Dê um clique no botão Adicionar. Surge uma janela com a listagem de usuários. Localize o usuário IUSR_SERVIDOR e dê um clique sobre o mesmo para marcá-lo, conforme indicado na Figura 14.23.
8. Dê um clique no botão OK. Surge uma janela pedindo para que você defina as permissões NTFS para o usuário IUSR_SERVIDOR.
10. Você estará de volta a janela de opções avançadas. Certifique-se de que a opção “Redefinir permissões em todos os objetos filho e permitir a propagação das permissões herdadas”, esteja marcada.
12. Você estará de volta a guia Segurança da janela de propriedades da pasta.
8. Dê um clique no botão OK. Observe que o usuário IUSR_SERVIDOR já consta na listagem de usuários.
Feito isso foram reatribuídas as permissões NTFS originais e qualquer usuário volta a ter acesso a pasta (no nosso exemplo era a pasta Capitulo8) e a todo o seu conteúdo, porém com permissão somente para leitura. Agora o usuário já poderá acessar a página que não será mais retornada a mensagem de acesso negado. Com este exemplo, podemos constatar que o servidor IIS trabalha em sintonia com o Windows 2000, de tal forma que os recursos de segurança do Sistema Operacional podem ser utilizados pelo IIS. Nos detalhamos um pouco mais o primeiro tipo de acesso – Acesso anônimo, para explicar alguns conceitos importantes em detalhes. Agora passaremos a estudar outros tipo de autenticação possíveis com o IIS. Lembrando que a autenticação com o IIS é apenas um dos tantos níveis de segurança que podemos configurar. Autenticação básica. A autenticação básica é uma das mais antigas formas de autenticação que existem, desenvolvidas desde a época dos primeiros servidores Web como o NCSA e o Cern HTTP. Neste tipo de autenticação, o usuário precisa fornecer um Username e uma senha. O método de autenticação básica é um padrão de mercado amplamente usado para coletar informações de nome de usuário e senha. A autenticação básica funciona da seguinte forma: 1. O navegador exibe uma caixa de diálogo na qual o usuário pode digitar seu Username e senha de conta do Windows 2000, previamente cadastrada. Por isso, é um pré-requisito da autenticação básica, que o usuário já possua uma conta cadastrada no Windows 2000. A autenticação básica apresenta como principal requisito, o fato de que o usuário deve ter uma conta no Windows 2000. Para sites que são acessado por um grande número de usuários pode não ser uma boa opção. Além disso o fato do usuário ter que digitar um username e senha não é muito “simpático”. Uma das grandes desvantagens deste método de autenticação é o fato de que a senha não é criptografada ao ser transmitida pela rede. A codificação que é feita é extremamente simples de ser quebrada, por isso este método de autenticação não é dos mais seguros. A vantagem da autenticação básica é que ela faz parte da especificação do HTTP e tem suporte da maioria dos navegadores. A desvantagem é que pelo fato dos navegadores que usam a autenticação básica transmitirem senhas de forma descriptografada, ao monitorar as comunicações na sua rede, alguém pode interceptar e decifrar facilmente essas senhas usando ferramentas disponíveis publicamente na Internet. Portanto, a autenticação básica não é recomendada a menos que você tenha certeza que a conexão entre o usuário e seu servidor Web é segura, como uma conexão direta via cabo ou uma linha dedicada. IMPORTANTE! A autenticação integrada do Windows (que veremos logo em seguida) tem prioridade sobre a autenticação básica. O navegador escolherá a autenticação integrada do Windows e tentará usar as informações de logon atuais do Windows antes de solicitar ao usuário um nome de usuário e uma senha. Atualmente, somente o Internet Explorer, versão 2.0 e posterior, oferece suporte à autenticação integrada do Windows. Autenticação Integrada do Windows. A autenticação integrada do Windows (chamada anteriormente NTLM ou autenticação de desafio/resposta do Windows NT) é uma forma segura de autenticação pois o nome de usuário e a senha não são enviados pela rede criptografados. Quando você ativa a autenticação integrada do Windows, o navegador do usuário verifica a validade da senha através de uma troca criptográfica com o servidor Web. A autenticação integrada do Windows pode usar o protocolo de autenticação Kerberos versão 5 e o seu próprio protocolo de autenticação desafio/resposta. Se o Serviços de diretório – Active Directory, estiver instalado no servidor e o navegador for compatível com o protocolo de autenticação Kerberos versão 5, o protocolo Kerberos versão 5 e o protocolo desafio/resposta serão usados; caso contrário, somente o protocolo desafio/resposta será usado. O protocolo de autenticação Kerberos versão 5 é um recurso da arquitetura do Windows 2000 Distributed Services. Para que a autenticação do Kerberos versão 5 seja bem-sucedida, o cliente e o servidor devem ter uma conexão confiável com um Key Distribution Center (KDC) e devem ser compatíveis com os Serviços do Active Directory. A situação ideal é onde o cliente utiliza o Windows 2000 Professional. A autenticação integrada do Windows funciona da seguinte forma: 1. Diferentemente da autenticação básica, ela não solicita inicialmente um nome de usuário e uma senha. As informações atuais de usuário logado e sobre o computador cliente são usadas para a autenticação integrada do Windows. O Internet Explorer, versão 4.0 e posterior, pode ser configurado para solicitar inicialmente informações do usuário, se necessário. Para obter mais informações, consulte a documentação do Internet Explorer. 2. No entanto, se a troca da autenticação não consegue identificar o usuário , o navegador solicita ao usuário um nome de usuário e uma senha de conta de usuário do Windows, que ele processa usando a autenticação integrada do Windows. Embora a autenticação integrada do Windows seja segura, ela tem duas limitações. 1. Somente o Microsoft Internet Explorer, versão 2.0 ou posterior, oferece suporte a esse método de autenticação. Portanto, a autenticação integrada do Windows é mais adequada para um ambiente de Intranet, no qual o usuário e o servidor Web estão no mesmo domínio e os administradores podem garantir que todos os usuários tenham o Microsoft Internet Explorer, versão 2.0 ou posterior. Autenticação utilizando certificados. Este é um dos métodos de autenticação que mais vem crescendo em termos de utilização. Inicialmente os Certificados digitais foram projetados como um instrumento de autenticação segura para a Internet, porém o seu uso apresentou tantas vantagens que hoje é bastante comum a utilização de Certificados digitais em Intranets e Extranets. A tecnologia de certificados usa os recursos de segurança de Secure Sockets Layer (SSL, camada de soquetes de segurança) do servidor Web para dois tipos de autenticação. É possível usar um certificado de servidor para permitir que os usuários façam a autenticação do seu site da Web antes de transmitir informações pessoais, como um número de cartão de crédito. Além disso, você pode usar certificados de cliente para autenticar os usuários que solicitam informações no seu site da Web. O SSL faz a autenticação verificando o conteúdo de uma identificação digital (0 Certificado digital) criptografada submetida pelo navegador do usuário durante o processo de logon. (Os usuários obtêm certificados de cliente de uma organização independente mutuamente confiável – Autoridade Certificadora.) Os certificados de servidor contêm geralmente informações sobre sua empresa e a organização que emitiu o certificado. Os certificados de cliente contêm normalmente informações de identificação sobre o usuário e a organização que emitiu o certificado. Mapeamento do certificado cliente Você pode associar, ou mapear, certificados de cliente a contas de usuário do Windows no IIS. Depois que você cria e ativa um mapa de certificado, sempre que um usuário faz logon com um certificado de cliente, seu servidor Web associa automaticamente esse usuário à conta de usuário do Windows apropriada. Dessa forma, você pode autenticar automaticamente os usuários que fazem logon com certificados de cliente, sem exigir o uso da autenticação básica ou integrada do Windows. É possível mapear um certificado de cliente para uma conta de usuário do Windows ou muitos certificados de cliente para uma conta. Por exemplo, se você tivesse vários departamentos ou empresas diferentes no seu servidor, cada uma com seu próprio site da Web, seria possível usar o mapeamento vários-para-um para mapear todos os certificados de cliente de cada departamento ou empresa para o próprio site da Web. Dessa forma, cada site forneceria acesso somente aos próprios clientes. O tipo de autenticação é apenas um dos aspectos que precisam ser definidos. Devem ser consideradas diversas questões. A seguir segue uma lista de questões que devem ser levadas em considerações na hora de decidir sobre o tipo de autenticação que iremos configurar no IIS, ou se devemos configurar mais do que um tipo de autenticação. |
||
« Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434
Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208
Todos os direitos reservados, Júlio Battisti 2001-2024 ®
LIVRO: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2016 - CURSO COMPLETO E PRÁTICO
DOMINE A PROGRAMAÇÃO VBA NO EXCEL - 878 PÁGINAS - CLIQUE AQUI