DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 324274 - Dernière mise à jour: mardi 4 décembre 2007 - Version: 6.2

Sommaire

Résumé

Cet article décrit comment configurer l'authentification pour les sites Web de services Internet (IIS) Microsoft dans Windows Server 2003. Vous pouvez configurer les services Internet pour qu'ils authentifient les utilisateurs avant d'autoriser leur accès à un site Web, à un dossier sur le site ou même à un document déterminé dans un dossier sur le site. L'authentification au sein des services IIS sert à renforcer le niveau de sécurité sur les sites, dossiers et documents qui ne sont pas destinés à être consultés par le grand public.

L'authentification dans les services IIS est capitale lorsque les ressources ne sont pas destinées à un accès anonyme ou public et que les utilisateurs approuvés doivent pouvoir accéder au serveur Web par l'intermédiaire d'Internet. Parmi les exemples d'applications de site Web nécessitant un contrôle d'accès par authentification figurent Microsoft Outlook Web Access (OWA) et Terminal Services Advanced Client (TSAC).


Procédure pour configurer l'authentification dans IIS

  1. Démarrez le gestionnaire des services Internet (IIS) ou ouvrez le composant logiciel enfichable des services Internet (IIS).
  2. Développez Nom_serveur, où Nom_serveur est le nom du serveur, puis développez Sites Web.
  3. Dans l'arborescence de la console, cliquez avec le bouton droit sur le site Web, le répertoire virtuel ou sur le fichier pour lequel vous souhaitez configurer l'authentification, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Sécurité de répertoire ou Sécurité de fichier (selon le cas), puis sous Anonyme et contrôle d'accès, cliquez sur Modifier.
  5. Cliquez pour activer la case en regard de la ou des méthodes d'authentification à utiliser, puis cliquez sur OK.

    Les méthodes d'authentification définies par défaut sont Accès anonyme et Authentification Windows intégrée :
    • Accès anonyme : Lorsque l'accès anonyme est activé, aucune information d'identification d'utilisateur authentifié n'est exigée pour accéder au site. Cette option convient tout particulièrement pour accorder un accès public aux informations ne nécessitant pas de sécurité. Lorsqu'un utilisateur tente de se connecter à votre site Web, les services Internet affectent la connexion au compte IUSER_NomOrdinateur, où NomOrdinateur est le nom du serveur sur lequel les services Internet s'exécutent. Par défaut, le compte IUSER_NomOrdinateur est membre du groupe Invités. Ce groupe applique des restrictions de sécurité, imposées par les autorisations du système de fichiers NTFS, qui désignent le niveau d'accès et le type de contenu mis à la disposition des utilisateurs publics. Pour modifier le compte Windows utilisé pour l'accès anonyme, cliquez sur Parcourir dans la zone Accès anonyme.

      IMPORTANT : Si vous activez l'accès anonyme, les services Internet tentent toujours en un premier temps d'authentifier les utilisateurs par le biais d'une authentification anonyme, même si vous activez des méthodes d'authentification complémentaires.
    • Authentification intégrée de Windows : Précédemment appelée NTLM ou Authentification stimulation/réponse de Windows NT, cette méthode, qui offre un niveau de sécurité élevé, envoie les informations d'authentification des utilisateurs sur le réseau sous la forme d'un ticket Kerberos. L'authentification Windows intégrée utilise Kerberos version 5 et l'authentification NTLM. Pour utiliser cette méthode, les clients doivent utiliser Microsoft Internet Explorer 2.0 ou une version ultérieure. Par ailleurs, l'authentification Windows intégrée n'est pas prise en charge sur les connexions HTTP par proxy. Cette option convient particulièrement pour les intranets, où l'ordinateur de l'utilisateur et celui du serveur Web figurent dans le même domaine, de sorte que les administrateurs peuvent vérifier que chaque utilisateur passe par Internet Explorer 2.0 ou une version ultérieure.

      REMARQUE : Si vous sélectionnez plusieurs options d'authentification, IIS tente de négocier d'abord la méthode la plus sûre, puis parcourt la liste des méthodes d'authentification disponibles jusqu'à trouver un protocole d'authentification mutuelle pris en charge par le client et par le serveur.
    • Authentification Digest pour les serveurs de domaine Windows : L'authentification Digest, qui offre un niveau de sécurité moyen, exige un ID utilisateur et un mot de passe. Elle est recommandée lorsque vous souhaitez accorder l'accès aux informations sécurisées à partir de réseaux publics. Cette méthode offre la même fonctionnalité que l'authentification de base. Cependant, elle transmet les informations d'identification des utilisateurs sur le réseau sous la forme d'un hachage MD5 ou d'un résumé du message à l'intérieur duquel le nom d'utilisateur d'origine et le mot de passe ne peuvent pas être décryptés à partir du hachage. Pour utiliser cette méthode, les clients doivent utiliser Microsoft Internet Explorer 5.0 ou une version ultérieure, et les clients ainsi que les serveurs Web doivent être membres d'un même domaine ou être approuvés par celui-ci.

      Si vous activez l'authentification Digest, entrez le nom du domaine dans la zone Domaine.
    • Authentification de base (le mot de passe est envoyé sous forme de texte clair) : L'authentification de base, qui offre un faible niveau de sécurité, exige un ID utilisateur et un mot de passe. Les informations d'identification des utilisateurs sont envoyées en clair sur le réseau. Ce format offre un faible niveau de sécurité car le mot de passe peut être lu par presque tous les analyseurs de protocole. Cependant, il est compatible avec la plupart des clients Web. Cette option est recommandée pour accorder l'accès aux informations présentées comme peu ou non confidentielles.

      Si vous activez l'authentification de base, entrez le nom du domaine à utiliser dans la zone Domaine par défaut. Vous pouvez également entrer une valeur dans la zone Domaine.
    • Authentification Microsoft Passport : L'authentification Passport assure une sécurité sur une ouverture de session unique offrant aux utilisateurs un accès à divers services sur Internet. Lorsque vous choisissez cette option, les requêtes destinées à IIS doivent contenir des informations d'identification Passport valides dans la chaîne de la requête ou dans le cookie. Si IIS ne détecte pas les informations d'identification Passport, les requêtes sont réacheminées vers la page d'ouverture de session Passport.

      REMARQUE : Lorsque vous sélectionnez cette option, toutes les autres méthodes d'authentification ne sont pas disponibles (apparaissent grisées).
  6. Un autre type d'authentification est basé sur l'hôte demandeur plutôt que sur les informations d'identification de l'utilisateur. Vous pouvez limiter l'accès en fonction de l'adresse IP source, de l'ID du réseau source ou du nom du domaine source. Pour configurer ce type d'authentification, procédez comme suit :
    1. Sous Restrictions par adresse IP et nom de domaine, cliquez sur Modifier.
    2. Effectuez l'une des procédures suivantes :
      • Pour refuser l'accès, cliquez sur Autorisé, puis sur Ajouter. Dans la boîte de dialogue Refuser l'accès à qui s'affiche, spécifiez l'option souhaitée, puis cliquez sur OK.

        L'ordinateur, le groupe d'ordinateurs ou le domaine spécifié est ajouté à la liste.

        - ou -
      • Pour accorder l'accès, cliquez sur Accès refusé, puis sur Ajouter. Dans la boîte de dialogue Autoriser l'accès à qui s'affiche, choisissez l'option souhaitée, puis cliquez sur OK.

        L'ordinateur, le groupe d'ordinateurs ou le domaine choisi est ajouté à la liste.
    3. Cliquez sur OK.
  7. Cliquez sur OK, puis quittez le gestionnaire de services IIS ou fermez le composant logiciel enfichable IIS.

Dépannage

  • Il se peut que vous soyez invité à appliquer aux sites existants toutes les modifications que vous avez apportées. Pour appliquer à un autre contenu les modifications apportées à l'authentification, cliquez sur ce contenu dans la liste des nœuds enfants, puis cliquez sur OK. Pour ne pas appliquer les modifications aux nœuds enfants, ne sélectionnez aucun élément dans la liste, puis cliquez sur OK.
  • Dans IIS, vous pouvez définir des options d'authentification au niveau du site Web, du répertoire ou du fichier. Les principes présentés dans cet article doivent alors être suivis de la même façon.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Information Services 6.0
Mots-clés : 
kbhowto kbhowtomaster KB324274
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store