DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 308160 - Ultima modifica: giovedì 5 ottobre 2006 - Revisione: 3.1

In questa pagina

Sommario

In questo articolo viene spiegato in dettaglio come configurare l'autenticazione di richieste basate sul Web in Microsoft Internet Information Services (IIS) 5.0.

Funzionamento dell'autenticazione Web

L'autenticazione Web consiste in uno scambio di comunicazioni tra il browser Web e il server Web che implica un piccolo numero di intestazioni HTTP (Hypertext Transfer Protocol) e messaggi di errore.

Il flusso della comunicazione è descritto di seguito:
  1. Il browser Web effettua una richiesta, ad esempio HTTP-GET.
  2. Il server Web esegue un controllo di autenticazione. Se il controllo non ha esito positivo perché è necessaria un'autenticazione, il server restituisce un messaggio di errore analogo al seguente:
    Non si è autorizzati a visualizzare questa pagina.

    Alle credenziali specificate non è associata l'autorizzazione per visualizzare questa directory o questa pagina.
    Nel messaggio sono incluse informazioni che il browser Web può utilizzare per rinviare la richiesta come richiesta autenticata.
  3. Il browser Web utilizza la risposta del server per elaborare una nuova richiesta contenente informazioni di autenticazione.
  4. Il server Web esegue un controllo di autenticazione. Se il controllo ha esito positivo, il server Web invia al browser Web i dati inizialmente richiesti.

Metodi di autenticazione

NOTA: con alcuni dei metodi di autenticazione seguenti è necessario utilizzare unità formattate con il file system NTFS in quanto assicurano il massimo livello di protezione.

In IIS sono supportati i seguenti cinque metodi di autenticazione Web:

Autenticazione anonima

IIS crea l'account IUTENTE_nomecomputer, dove nomecomputer è il nome del computer, per autenticare gli utenti anonimi quando questi richiedono contenuto Web. Questo account consente agli utenti di accedere localmente. È possibile impostare l'accesso anonimo in modo che venga utilizzato qualsiasi account di Windows valido.

NOTA: è possibile impostare account anonimi diversi per vari siti Web, directory virtuali o fisiche e file.

Se il computer basato su Windows 2000 è un server autonomo, l'account IUTENTE_nomecomputer si trova sul server locale. Se il server è un controller di dominio, l'account IUTENTE_nomecomputer è definito per il dominio.

Autenticazione di base

Utilizzare l'autenticazione di base per limitare l'accesso ai file su un server Web formattato con il file system NTFS. Con l'autenticazione di base l'utente deve immettere le credenziali e l'accesso è basato sull'ID utente.

Per utilizzare l'autenticazione di base, concedere a ogni utente il diritto di accesso locale e, per semplificare l'amministrazione, aggiungere ogni utente a un gruppo che dispone dell'accesso ai file necessari.

NOTA: poiché le credenziali dell'utente sono codificate con il metodo Base64 ma non sono crittografate quando vengono inviate in rete, l'autenticazione di base è considerata un metodo di autenticazione non protetto.

Autenticazione integrata di Windows

L'autenticazione integrata di Windows garantisce una protezione maggiore dell'autenticazione di base e risulta valida in ambienti Intranet in cui gli utenti dispongono di account di dominio Windows. Con l'autenticazione integrata di Windows il browser tenta di utilizzare le credenziali dell'utente da un accesso a un dominio e, se il tentativo non riesce, all'utente viene chiesto di immettere un nome utente e una password. Se si utilizza questo metodo la password dell'utente non viene trasmessa al server. Se l'utente accede al computer locale come utente di dominio, non dovrà essere autenticato di nuovo quando accede a un computer di rete in quel dominio.

NOTA: non è possibile utilizzare l'autenticazione integrata di Windows con un server proxy.

Autenticazione digest

L'autenticazione digest risolve molti punti deboli dell'autenticazione di base. La password non viene inviata in formato non crittografato quando si utilizza questo metodo. Inoltre è possibile utilizzare l'autenticazione digest con un server proxy. Questo metodo si avvale del meccanismo In attesa/Risposta (utilizzato nell'autenticazione integrata di Windows) in cui la password viene inviata in formato crittografato. Per utilizzare l'autenticazione digest:
  • Il server basato su Windows 2000 deve far parte di un dominio.
  • È necessario installare il file IISSuba.dll nel controller di dominio. Questo file viene copiato automaticamente durante l'installazione di Windows 2000 Server.
  • È necessario configurare tutti gli account utente con l'opzione Archivia password mediante crittografia reversibile selezionata. Per l'attivazione di questa opzione è necessario reimpostare o immettere nuovamente la password.
NOTA: se si utilizza l'autenticazione digest, è necessario utilizzare Microsoft Internet Explorer 5.0 o versione successiva.

Mapping dei certificati client

Il mapping dei certificati client è un metodo in cui viene creata una "associazione" tra un certificato e un account utente. In questo modello l'utente presenta un certificato e il sistema verifica nel mapping per stabilire a quale account accedere. È possibile eseguire il mapping tra un certificato e un account utente di Windows in due modi:
  • Mediante Active Directory.

    Oppure
  • Utilizzando regole definite in IIS.
Per ulteriori informazioni sul mapping tra certificati client e account utente, cercare l'argomento corrispondente nella documentazione di IIS. Se nel computer in uso è installato IIS, è possibile visualizzare la relativa documentazione digitando il seguente URL nella barra dell'indirizzo del browser Web, dove hostlocale è il nome dell'host locale:
http://hostlocale/iisHelp/iis/misc/default.asp
Per ulteriori informazioni sull'utilizzo dei certificati, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290625  (http://support.microsoft.com/kb/290625/ ) Configurazione di SSL in un ambiente di test di Windows 2000 IIS 5 utilizzando Certificate Server 2.0
È possibile configurare ogni metodo di autenticazione in modo da controllare l'accesso ai seguenti elementi del server IIS:
  • Tutto il contenuto Web ospitato nel server IIS.
  • Singoli siti Web ospitati nel server IIS.
  • Singole directory virtuali o fisiche contenute in un sito Web.
  • Singole pagine o file contenuti in un sito Web.

Configurazione dell'autenticazione di siti Web di IIS

  1. Per accedere a un computer server Web utilizzare un account amministrativo.
  2. Fare clic sul pulsante Start, scegliere Programmi, quindi Strumenti di amministrazione e fare clic su Gestione servizi Internet.

    Verrà avviato lo snap-in Internet Information Services.
  3. Nella struttura della console scegliere * nome computer dove nome computer è il nome del computer.
  4. Fare clic con il pulsante destro del mouse su uno dei seguenti elementi e scegliere Proprietà:
    • Per configurare l'autenticazione per tutto il contenuto Web ospitato nel server IIS, fare clic con il pulsante destro del mouse su * nome computer.
    • Per configurare l'autenticazione per un singolo sito Web, fare clic con il pulsante destro del mouse sul sito Web desiderato.
    • Per configurare l'autenticazione per una directory virtuale o fisica in un sito Web, fare clic sul sito Web desiderato, quindi fare clic con il pulsante destro del mouse sulla directory desiderata, ad esempio _vti_pvt.
    • Per configurare l'autenticazione per una pagina o un file specifico di un sito Web, fare clic sul sito Web desiderato, fare clic sulla cartella contenente il file o la pagina, quindi fare clic con il pulsante destro del mouse sul file o sulla pagina.
  5. Nella finestra di dialogo Nome oggetto Proprietà, dove Nome oggetto è il nome dell'elemento selezionato, fare clic sulla scheda Protezione directory.

    NOTA: se l'elemento selezionato è un singolo file, fare clic sulla scheda Protezione file.
  6. In Controllo autenticazione e accesso anonimo scegliere Modifica.
  7. Selezionare la casella di controllo Accesso anonimo per abilitare l'accesso anonimo. Per disattivare l'accesso anonimo, deselezionare questa casella di controllo.

    NOTA: se l'accesso anonimo viene disattivato, è necessario configurare un'altra forma di accesso autenticato.
    1. Per modificare l'account utilizzato per l'accesso anonimo a questa risorsa, scegliere Modifica accanto a Account utilizzato per l'accesso anonimo.
    2. Nella finestra di dialogo Account utente anonimo fare clic sull'account utente che si desidera utilizzare per l'accesso anonimo.
    3. Deselezionare la casella di controllo Abilita controllo delle password se si desidera utilizzare l'API Windows LogonUser() per l'autenticazione utente.

      NOTA: se si disattiva questa opzione di controllo della password, a IIS verrà imposto di utilizzare l'autenticazione normale e di effettuare l'accesso localmente. È opportuno disattivare questa opzione se gli utenti incontrano difficoltà durante l'accesso alle risorse, ad esempio file o database di Microsoft Access su un computer in rete.
    4. Scegliere OK.
  8. In Accesso con autenticazione selezionare la casella di controllo Autenticazione di base (password non crittografata) per attivare questo metodo di autenticazione. Quando viene visualizzato il seguente messaggio, scegliere :
    L'opzione di autenticazione selezionata non prevede alcuna crittografia per le password trasmesse in rete. Le password immesse dagli utenti potrebbero pertanto essere intercettate durante la procedura di autenticazione utilizzando un analizzatore di protocollo e utenti non autorizzati potrebbero quindi accedere al sistema per danneggiarlo. Per ulteriori informazioni, consultare la Guida in linea. Questo avviso non riguarda le connessioni HTTPS o SSL.

    Continuare?
    1. Per selezionare un dominio con il quale autenticare gli utenti che utilizzano l'autenticazione di base, fare clic su Modifica accanto all'opzione per la selezione diun dominio predefinito.
    2. Digitare il nome del dominio desiderato nella casella Nome dominio, quindi scegliere OK.
  9. Selezionare la casella di controllo Autenticazione del digest per server di dominio Windows se si desidera utilizzare questo metodo di autenticazione. Quando viene visualizzato il messaggio analogo a quello riportato di seguito, scegliere :
    L'autenticazione digest funziona solo con account di domino di Windows 2000 e richiede l'archiviazione delle password come testo crittografato.

    Continuare?
    NOTA è necessario configurare gli account utente con l'opzione Archivia password mediante crittografia reversibile selezionata.
  10. Selezionare la casella di controllo Autenticazione integrata di Windows per utilizzare questo metodo di autenticazione.

    NOTA: questo metodo era precedentemente denominato Challenge/Response o NT LAN Manager (NTLM) di Microsoft Windows NT.
  11. Scegliere OK, quindi nella finestra di dialogo Nome oggetto Proprietà scegliere OK. Se viene aperta la finestra di dialogo Proprietà ereditate ignorate, procedere come segue:
    1. Scegliere Seleziona tutto per applicare le nuove impostazioni di autenticazione a tutti i file o a tutte le cartelle che si trovano nell'elemento modificato.
    2. Scegliere OK.
  12. Uscire da Internet Information Services.


Riferimenti

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
297954  (http://support.microsoft.com/kb/297954/ ) Risoluzione dei problemi del server Web in Windows 2000
299970  (http://support.microsoft.com/kb/299970/ ) HOW TO: Utilizzare la protezione NTFS per le pagine Web in esecuzione in IIS 4.0 o 5.0
216705  (http://support.microsoft.com/kb/216705/ ) Impostazione delle autorizzazioni per un Web di FrontPage in IIS
222028  (http://support.microsoft.com/kb/222028/ ) Impostazione dell'autenticazione digest per l'utilizzo con Internet Information Services 5.0
158229  (http://support.microsoft.com/kb/158229/ ) Implicazioni relative alla protezione per le applicazioni IIS

Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
Chiavi: 
kbhowto kbhowtomaster KB308160
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store