IIS i uwierzytelnie Active Directory Opcje

[Barty]

Problem jest taki: z IE6 na komputerze zalogowanym do domeny AD wpisuje adres strony na IIS (na IIS jest ustawione UWIERZYTELNIANIE ZINTEGROWANE) i strona sie wyswietla - wszystko OK. Ale jezeli probuje wejsc na site z komputera nie bedacego w domenie na site IIS - wyskakuje monit logowania i po wpisaniu domeny/loginu oraz hasla przegladarka ROWNIEZ wyswietla strone.
Pytanie: Jak zablokowac wyskakujacy monit wraz z mozliwoscia zalogowania sie do IISa , jezeli pracuje na komputerze nie bedacym w domenie? Uwierzytelnienie w tym przypadku nie powinno byc mozliwe jako ze staja robocza nie jest w domenie Active Directory...

Serwer Windows 2003 serwer
stacja: Windows XP
IIS 6.0


Pozdrawiam,
Barty

[LukaszLenart]

Nie za bardzo rozumiem o co ci chodzi? Albo masz zintegrowane lgowanie albo nie. Mozesz zamiast zintegrowanego logowania lepiej uzywac logowania przez formularz na stronie i LDAP

[Barty]

Chodzi o to, ze jezeli z komputera nie bedacym w domenie bede probowal wejsc IE na site na IISie, to IE wyswietli mi MONIT logowania (i po podaniu w monicie loginu z nazwa domeny oraz hasla wejde pomyslnie na IIS i zobacze strone ktorej nie powinienem zobaczyc bo pracuje na komputerze nie nalezacym do domeny). W takiej sytuacji zamiast MONITU powinien pojawic sie blad o braku prawach dostepu...
Moze do konca nie rozumiem jak dziala logowanie zintegrowane. Wydaje mi sie ze :
1. Wchodzac na strone sie z komputera bedacym w domenie ale nie bedac zalogowanym do domeny, przegladarka ma prawo wywalic monit i po uwierzytelnieniu wsywietla sie strona (to jest OK)
2. Wchodzac na strone z komputera nie bedacym w domenie IE nie powinien wywalic monitu i tymbardziej zezwolic na logowanie do IISa.

Pozdr

Bartek

[LukaszLenart]

Moze do konca nie rozumiem jak dziala logowanie zintegrowane

No chyba, od 5 lat mam z tym doczynienia i uwazam to za kiche ;D

Ad.1 W Windows nie mozesz nie zalogowac sie do domeny (no chyba, ze tylko do stacji).

Ad.2 Tez, patrz pkt 1. Sytuacja jest taka sama.

Sprobuj ustawic restrykcje na dostep do serwera WWW (Domain Access) ale jest to usluga mocno obciazajaca system i chyba tak bedzie wyskakiwal monit.

Kiedys widzialem skrypt perl, ktory umozliwial logowanie zintegrowane na nie-IISie, poszukaj i zobacz jak to dziala i napisz wlasna wersje w php ;-D

Moim zdaniem zbedny trud i tyle. Nie wiem czy ma sie to roznic czy jestes w domenie czy nie, jakies wzgledy bezpieczenstwa? Jesli tak to zle je rozumiesz.

Ten post edytował LukaszLenart 17.12.2004, 11:00:31

[Barty]

dokladnie, chodzi w bezpieczenstwo. Nie chce zeby ktos uprawniony do ogladania WWW mogl skorzystac z komputera niedomenowego i pracowac na nim logujac sie do IISa.

BTW, czy jest mozliwe wylaczenie NTLMa? Chce uzywac wylacznie mechanizmu kerberos.
Pozdr

Bartek

[arche]

dokladnie, chodzi w bezpieczenstwo. Nie chce zeby ktos uprawniony do ogladania WWW mogl skorzystac z komputera niedomenowego i pracowac na nim logujac sie do IISa.

Jest wyjście z tego: wystarczy nadać uprawnienia dla konkretnych komputerów zamiast użytkowników lecz wtedy każdy kto będzie miał prawo logowania na danym kompie dostanie dostęp do witryny

BTW, czy jest mozliwe wylaczenie NTLMa? Chce uzywac wylacznie mechanizmu kerberos.

Jeśli wyłączysz NTLM-a to nie będziesz mógł się dobić do usługi wykorzystując adres IP ponieważ kerberos wymaga nazwy do przeprowadzenia autentykacji... Więc lepiej nie eksperymentować bo można więcej popsuć niż zabezpieczyć!!

[blashey]

Ello!

Mam pewien problem z AD. Na Win2003 Server skonfigurowałem domenę. Wszystko poszło OK. Drugi komp z WinXP podłączyłem do domeny. Na Win2003 zalozylem uzytkownika domenowego na ktorego loguje się w WinXP (więc kompy się widzą i łączą bo zasysa usera z 2003).
Na Win2003 skofigurowalem sobie IIS i jak go odpalam logalnie to wszystko działa. Jednak kiedy na zalogowanym do domeny userze na WinXP odpalam te stronkę to wtedy wyskakuje mi monit o podanie hasła. Na IIS mam ustawione zintegrowane logowanie.

Czy ktoś mi podpowie co jeszcze powinienem skonfigurowac?