Microsoft Internet Information Server 5.0 comporte une foule de nouvelles fonctions,
et notamment un traitement amélioré des comptes des utilisateurs et des ordinateurs,
une meilleure exécution des applications des utilisateurs, ainsi que des fonctions
de sécurité perfectionnées.
Etant donné que de nombreux utilisateurs vont commencer à utiliser Windows 2000,
lui aussi porteur d'améliorations majeures en termes de sécurité, et qu'IIS 5.0
est quatre à cinq fois plus rapide qu'IIS 4.0, il était grand temps de consacrer
un article aux nouvelles fonctions de sécurité de la dernière version d'IIS. Celles-ci
facilitent la configuration de la sécurité des applications et, grâce aux nouvelles
technologies comme Kerberos, améliorent la cohérence de l'utilisation de la sécurité
d'IIS avec d'autres systèmes.
L'utilisation d'IIS 5.0 commence par son installation sur Windows 2000. Pour tester
IIS 5.0, j'ai utilisé la beta de Windows 2000 Server. La configuration de Windows
2000 a un impact sur l'utilisation d'IIS 5.0 et sur le fonctionnement des fonctions
de sécurité du logiciel. Le serveur IIS 5.0 peut être configuré comme contrôleur
de domaine ou installé dans un domaine Windows 2000 existant. En d'autres termes
on peut l'installer sur n'importe quelle machine du domaine.
Une fois IIS 5.0 installé, j'ai utilisé Microsoft Visual InterDev 6.0 pour créer
un nouveau répertoire virtuel, tâche que rendent pénible les Extensions FrontPage
Server. Windows 2000 m'a obligé à me connecter par le biais de Visual InterDev
et a vérifié le compte d'utilisateur utilisé par l'OS pour créer le répertoire.
En dehors de mon ID de logon et de mon mot de passe, je n'ai eu besoin d'aucune
information de plus sur Windows 2000. Ce processus correspond à celui d'IIS 4.0
pour créer un répertoire virtuel et travailler avec les fonctions de sécurité.
L'accès aux paramètres de sécurité se fait par le Gestionnaire des services
Internet comme dans IIS 4.0 de Windows NT 4.0
Les nouvelles fonctions de sécurité d’IIS 5.0
J’ai défini les options de sécurité sur le serveur après avoir créé le nouveau
répertoire virtuel. L’accès aux paramètres de sécurité se fait par le Gestionnaire
des services Internet (Internet Service Manager – ISM) comme dans IIS 4.0 de Windows
NT 4.0. Ouvrez ISM à partir du dossier Start\Programs\/Administrative Tools. Sélectionnez
Propriétés du répertoire virtuel et cliquez sur l’onglet Sécurité du répertoire.
La première option de sécurité est la méthode d’authentification, qui contrôle
l’authentification des utilisateurs accédant au répertoire virtuel en fonction
du système de sécurité du serveur. L’écran 1 montre la boîte de dialogue Méthodes
d’authentification, qui contrôle les différentes méthodes. Cochez la case Accès
anonyme et cliquez sur Edition. Cette option accorde l’accès du répertoire
virtuel à tous les utilisateurs. Après avoir cliqué sur Edition, vous voyez s’afficher
la boîte de dialogue Compte de l’utilisateur anonyme dans laquelle vous sélectionnez
le compte ; le compte par défaut est IUSR_machinename.
L’option Authentification de base contrôle l’accès autorisé au répertoire
virtuel. Si vous cochez cette case, le browser utilise la transmission en texte
clair pour envoyer votre compte d’utilisateur et votre mot de passe à IIS 5.0.
Cette fonction est identique à celle d’IIS 4.0, mais avec un petit changement
: la possibilité de cliquer sur Edition pour afficher la boîte de dialogue Domaine
d’authentification de base, qui permet de sélectionner le domaine NT par rapport
auquel vous voulez authentifier les utilisateurs. Le domaine par défaut est le
domaine NT local, mais il est possible de choisir tout domaine NT ou tout autre
domaine compatible. Cette fonction permet de contrôler l’accès des utilisateurs
aux applications Web avec une authentification en fonction du système de sécurité
de n’importe quel autre OS. Les grandes organisations possédant un grand nombre
de systèmes Windows 2000, de domaines NT et de systèmes Novell Netware apprécieront
cette fonction.
L’option suivante, Authentification abrégée pour les serveurs de domaines Windows),
active l’authentification abrégée définie par l’IETF (Internet Engineering Task
Force) dans la RFC 2069 (http://www.ietf.org/rfc/rfc2089.txt).
L’authentification abrégée spécifie l’utilisation d’un service de chiffrement
pour protéger le mot de passe de l’utilisateur. Elle envoie un mot de passe à
secret partagé plutôt qu’un mot de passe d’utilisateur. Cette authentification
fonctionne sur TCP/IP, donc avec les serveurs proxy de Microsoft. Internet Explorer
5.0 fait partie des rares browsers supportant l’authentification abrégée, qui
fait partie de HTTP 1.1.
Lorsqu’un utilisateur navigue vers un répertoire virtuel avec l’authentification
abrégée activée, IIS 5.0 envoie au browser une valeur de circonstance pour l’interroger.
Cette requête comprend des informations supplémentaires utilisées par le browser
dans le processus de chiffrement. Le browser les ajoute à l’ID et au mot de passe
de l’utilisateur et soumet cette chaîne à un algorithme de hachage pour générer
une nouvelle valeur qu’il envoie sur le réseau. Si cette valeur est la même que
la valeur de hachage générée par IIS 5.0, l’authentification abrégée authentifie
l’utilisateur et lui accorde l’accès aux ressources IIS.
Lorsque vous activez l’authentification abrégée, IIS 5.0 vous signale de stocker
les mots de passe des comptes en texte clair. IIS 5.0 utilise le mot de passe
en texte clair pour générer la valeur hachée qui sera comparée à celle du browser.
L’authentication abrégée fonctionne parce qu’IIS 5.0 peut découvrir le mot de
passe de l’utilisateur sur le serveur et que le browser le connaît. IIS 5.0 compare
le hachage envoyé par le browser, sans obligation pour le browser ou IIS d’envoyer
le mot de passe sur le réseau.
Dans les précédentes versions d’IIS la dernière option, Authentification Windows
intégrée, s’appelait Authentification par Stimulation/Réponse NT. Cette
option active le protocole d’authentification par Stimulation/Réponse NT original
de IE 2.0 et des versions ultérieures, ainsi que d’autres méthodes.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
