Як створити обліковий запис користувача для базової автентифікації?

79

Я хотів би додати базову автентифікацію на свій веб-сайт. Я дотримувався вказівок у статті MSDN про Налаштування базової автентифікації (IIS 7)

Використовувати інтерфейс користувача

  1. Відкрийте IIS Manager і перейдіть до рівня, яким ви хочете керувати. Інформацію про відкриття диспетчера IIS див. У статті Відкриття диспетчера IIS (IIS 7) . Інформацію про навігацію до місць в інтерфейсі користувача див. У розділі Навігація в диспетчері IIS (IIS 7) .
  2. У режимі перегляду двічі клацніть « Автентифікація» .
  3. На сторінці автентифікації виберіть Основна автентифікація .
  4. На панелі дій натисніть кнопку Увімкнути, щоб використовувати базову автентифікацію із налаштуваннями за замовчуванням.
  5. Необов’язково на панелі Дій натисніть Редагувати, щоб ввести домен і область за замовчуванням.
  6. В редагування основних параметрів перевірки автентичності діалогового вікна, в області за замовчуванням текстового поля, введіть домен за замовчуванням або залиште це поле порожнім. Користувачі, які не надають домен під час входу на ваш сайт, аутентифікуються проти цього домену.
  7. У текстовому полі Сфера введіть область або залиште її порожньою. Загалом для імені області можна використовувати те саме значення, що і для домену за замовчуванням.
    • Важливо.
      Якщо ви введете доменне ім’я за замовчуванням у текстовому полі Realm, ваше внутрішнє доменне ім’я Microsoft Windows може бути відкрите для зовнішніх користувачів під час виклику імені користувача та пароля.
  8. Натисніть OK, щоб закрити діалогове вікно Редагувати основні параметри автентифікації .

Ось що я зробив до цього часу:

Менеджер IIS - автентифікація Сторінка автентифікації - Основна автентифікація

Тепер мені потрібно створити обліковий запис користувача для базової автентифікації.

Хтось знає, як створювати користувачів у диспетчері IIS?

iis  iis-7  basic-authentication 
Джозеф Бі
джерело
1
Ви змогли отримати рішення для цього?
pranag

Відповіді:

76

Клацніть правою кнопкою миші на Комп’ютері та виберіть «Керувати» (або перейдіть до Панелі керування> Адміністративні інструменти> Керування комп’ютером) і в розділі «Локальні користувачі та групи» можна додати нового користувача. Потім дайте цьому користувачеві дозвіл читати каталог, де розміщений сайт.

Примітка: Після створення користувача обов’язково відредагуйте його та видаліть усі ролі.

Джош М.
джерело
11
Це ідеально, оскільки створює вектор для атаки, що дозволяє користувачам входити в мою машину. Підхід, коли створюється "Користувач управління IIS", який не має входу або локальних привілеїв на моїй машині Windows, є вищим.
Уоррен П
6
@WarrenP - Ні, ви просто видаляєте всі ролі у користувача після створення, і він не може увійти в систему або зробити щось, що ви спеціально не дозволили зробити.
Джош М.
2
Тож локальний обліковий запис користувача без ролей нічого не може зробити? Добре. За замовчуванням роль "локальний користувач" надає логін і може бути видалена.
Уоррен П
@WarrenP - це моє розуміння. І незважаючи на це, вам слід встановити надійний пароль для облікового запису користувача.
Джош М.
3
Мені потрібно додати це сюди, тому що мені знадобився деякий час, щоб знайти його, після створення користувача та видалення всіх ролей, як запропонував Джош М, вам потрібно змінити загальні налаштування, оскільки за замовчуванням Користувач повинен змінити пароль при наступному вході в систему. і це спричинить проблему, тож ви хочете зняти цей прапорець і встановити галочку Користувач не може змінити пароль.
dori naji
24

Я знаю, що це справді давнє запитання, але я хотів додати трохи пояснень, які я виявив важким шляхом (це інформація n00b).

"Основна автентифікація" використовує ті самі облікові записи, що і у вас на вашому локальному комп'ютері або в мережі. Якщо домен і область залишити порожніми, фактично використовуються локальні облікові записи. Отже, щоб додати новий обліковий запис, ви дотримуєтесь точного процесу, як і для додавання звичайного нового облікового запису користувача до свого локального комп’ютера (як відповів JoshM або показаний тут ). Якщо ви введете домен і область, ви можете створити мережеві облікові записи у вашому локальному активному каталозі, і саме вони будуть використовуватися для входу та виходу користувача.

Оскільки вона існує так давно, базова автентифікація, як правило, сумісна з будь-яким браузером / системою, але вона має серйозні недоліки:

  • користувач і пароль надсилаються відкрито (крім SSL)
  • потрібно мати обліковий запис користувача для кожного користувача або клієнта

Для отримання додаткової інформації про базову автентифікацію або облікові записи користувачів див . Наступну сторінку MSDN .

малював_в
джерело
6
Знову ж ,. це субідеально. Тут ніхто не турбується про безпеку?
Уоррен П
@drew_w, я використовую базову автентифікацію IIS, чи можете ви пояснити домен за замовчуванням під час налаштування? Чи працює це з Active Directory?
smwikipedia
1
@WarrenP для безпеки, я думаю, ви можете спробувати Basic Authentication + SSL.
smwikipedia
7

Якщо ви створюєте користувача з розширеним управлінням користувачами (з командного рядка netplwiz:), то змініть групу, видаліть користувачів і додайте iis_users. Вони зможуть пройти автентифікацію на вашій веб-сторінці, але не на комп’ютері.

Уве Дональдсон
джерело
Дякую, саме це я шукав. Однак групу називають " IIS_IUSRS" на локальних машинах.
bjoster
6

Мені вдалося досягти базової автентифікації на Windows Server 2012, виконавши такі дії:

Виберіть свій сайт у службі IIS та виберіть Автентифікацію введіть тут опис зображення

Переконайтеся, що основна автентифікація є єдиним увімкненим варіантом введіть тут опис зображення

ТОДІ! Додайте ім’я користувача та пароль через диспетчер серверів . Виберіть Інструменти -> Управління комп'ютером введіть тут опис зображення

У розділі Системні інструменти -> Локальні користувачі та групи -> Користувачі клацніть правою кнопкою миші в будь-якому місці середньої панелі, виберіть Новий користувач .., а потім заповніть облікові дані, які ви хочете використовувати. введіть тут опис зображення

Тепер, коли ви переходите на веб-сайт у браузері, вам буде запропоновано діалогове вікно автентифікації:

введіть тут опис зображення

Колін
джерело
5

На жаль, для IIS, встановлених на машинах з Windows 7/8, немає можливості створювати користувачів лише для автентифікації IIS. Для Windows Server є така опція, де ви можете додавати користувачів з інтерфейсу IIS Manager. Ці користувачі мають ролі лише в IIS, але не для решти системи. У цій статті показано, як ви додаєте користувачів, але це неправильне твердження, яке також застосовується до стандартної ОС, це стосується лише версій сервера.

kristi_io
джерело
коли я створюю локального користувача, як я можу тоді використовувати його в базовій автентифікації? Мій створений користувач не впізнаний
spankmaster79
Не забудьте увімкнути базову автентифікацію на сервері IIS.
kristi_io
1
Згідно з цим ( technet.microsoft.com/en-us/library/cc771311%28v=WS.10%29.aspx ), користувач IIS Manager не є звичайним користувачем. Я думаю, що це з метою управління. Щодо додавання користувача для базової автентифікації, я погоджуюсь з відповіддю drew_w.
smwikipedia
Я не думаю, що IIS Manager призначений для звичайного використання.
smwikipedia
3
Я не знаю, як це призвело до будь-яких голосів. Користувачі IIS Manager призначені для служби WMI, а не для HTTP Basic auth. WMI використовується для багатьох речей, наприклад для публікації веб-програм через Web Deploy. Аутентифікація переднього користувача - не одна з цих речей.
Джейсон Картер
3

Мені здається, що Windows 8 та IIS 7 більше не надають жодного інтерфейсу для створення імені користувача та пароля для базової автентифікації, яка НЕ ​​є локальним обліковим записом користувача Windows. Очевидно, що це вищий підхід до створення пари автентифікації лише користувачів IIS / пароля, але неясно і просто, як це робиться.

Для цього існують інструменти командного рядка. Деякі люди створюють обліковий запис Windows, а потім видаляють привілей локального входу користувача.

Уоррен П.
джерело
1

Налаштуйте базову автентифікацію, використовуючи інструкції від Microsoft . Але для доменного імені за замовчуванням введіть ім’я комп’ютера. Щоб знайти ім'я свого комп'ютера, натисніть кнопку "Пуск", клацніть правою кнопкою миші, клацніть "Властивості" та знайдіть там ім'я свого комп'ютера :)

Далі створіть користувачів, як це зазвичай роблять у Windows 7. Або якщо ви не знаєте, як це зробити, перейдіть на панель керування, користувачі, додайте обліковий запис ..... бла-бла-бла .... Отримати?

Далі перейдіть до iis та встановіть дозволи для користувача, якого ви щойно створили. Будьте обережні, встановивши дозволи, щоб зробити саме так, як ви цього хочете.

Це все! Щоб увійти, ім’я користувача та пароль!

ПРИМІТКА. Ім'я користувача має складати прості літери, а не великі. Я не впевнений у цьому, тому я вам це сказав.

Алсан Алі
джерело
1

Просто додати примітку, оскільки я не можу коментувати без 50+ представників ...

Якщо на сервері увімкнено FIPS, це не дозволяє створювати користувачів. Оскільки IIS v8 (і нижчий, я б собі уявив) не використовує алгоритми шифрування FIPS. Було б чудово, якби це підтримало, оскільки, очевидно, обліковий запис користувача у Windows небезпечний у порівнянні з віртуальним користувачем, зіставленим із ізольованою папкою. Шкода.

введіть тут опис зображення

Баррі
джерело
1

в менеджері iis натисніть каталог для захисту.

вибрати правила авторизації.

додати правило заборони анонімних користувачів.

дозвіл дозволити всім користувачам правило.

повернутися до: "в директорії iis manager натисніть каталог для захисту" автентифікація кліків вимкне всі, крім базової автентифікації.

каталог зараз захищений. лише люди з обліковими записами користувачів можуть отримати доступ до папки через Інтернет.

P GS
джерело
1
Я не знаю, чому ви голосуєте проти, це саме те, що я шукав.
Конрад Мікула,
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.