IIS - configuración

Anuncio
INTERNET INFORMATION SERVICE
No es un software de Windows que se instala de forma independiente, es una
característica de Windows que está desactivada y que hay que poner en funcionamiento,
para Activarla / Desactivarla:
Desactivarla:
a) Inicio / Programas / Herramientas Administrativas / Administrador del Servidor
b) Funciones / Resumen de Funciones / Quitar Funciones
c) Seguir el Asistente / Desmarcar Servidor Web
Activarla:
d) Inicio / Programas / Herramientas Administrativas / Administrador del Servidor
e) Funciones / Resumen de Funciones / Quitar Funciones
f) Seguir el Asistente / Marcar Servidor Web
Publicar Nuestro Sitio en IIS:
Por defecto al instalarse el IIS7 se creó por defecto un Sitio predeterminado en la
dirección C:\inetpub\wwwroot.
Podemos utilizar este directorio predeterminado para publicar nuestro contenido Web o
crear un directorio en una ubicación del sistema de archivos que elijamos.
Al agregar un sitio web al IIS7, se crea una entrada del sitio en el archivo
ApplicationHost.config. La entrada especifica el enlace para el sitio, asigna el sitio a
una ubicación en el sistema de archivos y de forma opcional especifica las credenciales
del usuario para el acceso al contenido.
a)
b)
c)
d)
e)
Vamos al Administrador de Servicios de Internet
Pulsamos con Derecho sobre Sitios
Agregar Nuevo Sitio
Especificamos un Nombre
El Grupo de Aplicaciones lo dejamos por defecto
Los grupos de aplicaciones aíslan sitios para solucionar problemas de
confiabilidad, disponibilidad y seguridad. Debe considerar la creación de grupos
de aplicaciones por alguno de los motivos siguientes:
a. Agrupar sitios y aplicaciones que se ejecutan con la misma configuración
b. Aislar sitios que se ejecutan con una configuración única
c. Aumentar la seguridad utilizando una identidad personalizada el ejecutar
una aplicación
d. Separar el contenido del cliente para evitar que los recursos de un cliente
tenga acceso a los recursos de otro cliente, aunque ambos sitios estén en
el mismo servidor web.
e. Mejorar el rendimiento
f) Seleccionamos la Ruta de Acceso al Contenido Web
g) Si la ruta de acceso física anterior es para un recurso compartido remoto
haremos click en Conectar Como para especificar las credenciales que tienen
permiso para obtener acceso a la ruta. Si no utiliza credenciales específicas,
seleccionaremos la opción por defecto Usuarios de la aplicación
(autenticación de paso a través) en el cuadro Conectar Como.
h) Podemos especificar una dirección IP estática para el acceso al sitio Web en el
caso que tuvieramos varias direcciones IP asignadas a nuestro servidor o dejarla
general con la opción por defecto y asignamos puerto de acceso.
i) Por último Detenemos el Web Site por defecto seleccionándolo y parando el
Servicio y activamos nuestro site seleccionándolo y pulsando a Iniciar.
j) Probamos el acceso introduciendo la dirección asignada por el proveedor en
nuestro navegador local
Acceso por Puerto:
Al igual que hacíamos con nuestro Apache tenemos la posibilidad de asignar un acceso
por puerto a nuestro sitio Web.
a) Pulsamos con Derecho sobre el Sitio al que le queremos aplicar el nuevo Puerto.
b) Enlaces
c) En la pantalla que se presenta vemos la configuración inicial con el puerto 80
asignado a todas las comunicaciones de IP que tenemos disponibles, pulsamos
en Agregar Enlace.
d) Asignamos nuevo puerto.
e) Su el puerto ya estuviera compartido por otro Sitio que tuvieramos creado
Windows nos advertiría que el puerto ya está en activo para otro Sitio, si el sitio
no esta iniciado no tiene que haber ningún problema.
f) Al intentar acceder con el navegador por el puerto especificado la petición no
termina de producirse, el Firewall de Windows está bloqueando nuestra petición,
tenemos que aplicar alguna regla para permitir el acceso.
g) Nos vamos a las Herramientas Administrativas / Firewall / Reglas de Entrada
h) Creamos una regla de Entrada por Puerto para el puerto que queramos liberar.
i) Al intentar acceder ahora no tenemos ningún problema
Directorios Virtuales (Alias - Apache):
Un directorio virtual es un directorio del servidor que no está dentro del directorio de
publicación habitual, es decir, un directorio que no depende de la Raíz del sitio que se
especifico en la configuración inicial del Web Site, pero que sí se puede acceder a través
del Servidor Web como si estuviera dentro de dicho directorio, es algo parecido a la que
hacíamos con el Alias de Apache para tener acceso transparente para el Usuario a Zonas
de nuestro Servidor que se salían del ámbito establecido por el DocumentRoot.
Los directorios virtuales se pueden mapear hacia otro directorio de nuestros discos
duros o incluso a otro directorio situado en otro ordenador de la red.
a) Pulsamos con botón derecho sobre el sitio Web al que le queremos añadir el
Directorio Virtual.
b) Agregar Directorio Virtual
c) Introducimos el Alias con el que vamos a acceder al directorio a través de la
dirección del Servidor.
d) Seleccionamos el directorio al que va a apuntar el Directorio Virtual
e) Ya lo tenemos agregado.
Nota: daros cuenta que al seleccionar el Directorio Virtual el cuadro de mandos de
Documentos de Error, Páginas Predeterminadas de Visualización,.. es independiente.
Control de Acceso en IIS:
La autenticación sirve para confirmar la identidad de los clientes que solicitan el acceso
a sus sitios y aplicaciones. IIS7 admite la autenticación anónima e integrada de
Windows de forma predeterminada.
IIS admite autenticación basada en desafío y basada en redirección de inicio de sesión:
-
Desafío: requiere que un cliente responda correctamente a un desafío
iniciado por un Servidor.
Redirección de Inicio de Sesión: se basa en la redirección a una página de
inicio de sesión para determinar la identidad del usuario.
Tipos de Control de Acceso:
Al igual que hicimos con nuestro servidor Apache tenemos la posibilidad de realizar
controles de acceso en zonas de nuestro Web Site, de hecho estos controles de acceso
habilitados serán un requisito indispensable para instalar servidores de correo mediante
Exchange, estos Servicios por defecto están deshabilitados, para activarlos:
Para instalar los componentes de IIS 7 para el rol de servidor de CAS con el
Administrador de servidores de Windows Server 2008
1. Haga clic en Inicio, en Herramientas administrativas y en Administrador de
servidores.
2. En el panel de navegación, expanda Roles, haga clic con el botón secundario en
Servidor web (IIS) y haga clic en Agregar servicios de rol.
3. En el panel Seleccionar servicios de rol, desplácese hasta IIS.
4. En el área Seguridad, haga clic para activar las casillas siguientes:
o Autenticación básica: Al ingresar en una determinada Zona de nuestro
Servidor el navegador nos solicita Usuario – Contraseña. Comunicación
No Cifrada  Equivalente al AuthBasic de Apache.
1.
2.
3.
4.
El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el
usuario debe escribir su nombre de usuario y contraseña de Windows
previamente asignados, que también se conocen como credenciales.
El explorador Web intentará establecer la conexión con un servidor, mediante
las credenciales del usuario. La contraseña de texto simple se codifica en
Base64 antes de enviarla a través de la red.
Importante La codificación en Base64 no es un cifrado. Si una contraseña
codificada en Base64 es interceptada en la red por un husmeador de redes, la
contraseña puede ser descodificada y utilizada por personas no autorizadas.
Si las credenciales de un usuario son rechazadas, Internet Explorer muestra
una ventana de diálogo de autenticación para que el usuario vuelva a escribir
5.
sus credenciales. En Internet Explorer se permite al usuario tres intentos de
conexión antes de informarle de que no se puede establecer la conexión.
Cuando el servidor Web compruebe que el nombre de usuario y la contraseña
corresponden a una cuenta de usuario válida de Microsoft Windows, se
establecerá una conexión.
La autenticación básica tiene la ventaja de que forma parte de la especificación
HTTP y es compatible con la mayoría de los exploradores. La desventaja de los
exploradores Web que utilizan la autenticación básica es que transmiten las
contraseñas sin cifrar. Mediante la supervisión de las comunicaciones en la red,
alguien podría fácilmente interceptar y descodificar estas contraseñas mediante
herramientas de dominio público. Por tanto, la Autenticación básica no es
recomendable a menos que tenga la seguridad de que la conexión entre el usuario
y el servidor Web sea segura, como una línea dedicada o una conexión Capa de
sockets seguros (SSL)
o
Autenticación implícita: al ingresar en alguna zona específica de
nuestro Servidor, este nos solicita Usuario y Contraseña con la
amplicación que las comunicaciones también están cifradas, este método
es equivalente al Digest de Apache:
La autenticación de texto implícita ofrece la misma funcionalidad que la autenticación
básica. Sin embargo, la autenticación de texto implícita supone una mejora en la
seguridad debido a la forma en que se envían las credenciales del usuario a través de la
red. La autenticación de texto implícita transmite las credenciales a través de la red
como un hash MD5, también conocido como mensaje implícito, en el que el nombre de
usuario y la contraseña originales no pueden descifrarse del hash. La autenticación de
texto implícita está disponible para los directorios del Sistema distribuido de creación y
control de versiones Web (WebDAV).
Antes de habilitar la autenticación de texto implícita en el servidor IIS, asegúrese de que
se cumplen los requisitos mínimos siguientes. Sólo los administradores de dominio
pueden comprobar que se cumplen los requisitos del controlador de dominio (DC). Si
tiene dudas, consulte al administrador del dominio si el controlador del dominio cumple
con los requisitos siguientes:
Todos los clientes que tienen acceso a un recurso protegido con autenticación de texto
implícita van a utilizar Internet Explorer 5.0 o posterior.




o
o
o
El usuario y el servidor IIS deben ser miembros o tener la confianza del mismo
dominio.
Los usuarios deben tener una cuenta válida de usuario de Windows
almacenada en Active Directory en el controlador de dominio.
El controlador del dominio debe ser un equipo con Windows 2000 o posterior.
El servidor IIS debe ser un equipo con Windows 2000 o posterior.
Autenticación de Windows: para INTRANET.
Autorización para URL: permite realizar reglas de acceso a Zona de la
Web que posteriormente se asignan a usuarios o grupos.
Restricciones de Nombres de Dominios y Direcciones IP: Denegar el
acceso por IP o Domino a Zonas Completas o Parciales de nuestro
Servidor  esta herramienta es equivalente al Allow, Deny de Apache.
5. En el área Rendimiento, haga clic para activar las casillas siguientes:
o Compresión estática
o Compresión dinámica
6. En el panel Seleccionar servicios de rol, haga clic en Siguiente y en Instalar
en el panel Confirmar selecciones de instalación.
7. Haga clic en Cerrar para salir del Asistente para agregar servicios de rol.
Instalar los componentes de IIS 7 para el rol de servidor Buzón de correo con el
Administrador de servidores de Windows Server 2008
1. Haga clic en Inicio, en Herramientas administrativas y en Administrador de
servidores.
2. En el panel de navegación, expanda Roles, haga clic con el botón secundario en
Servidor web (IIS) y haga clic en Agregar servicios de rol.
3. En el panel Seleccionar servicios de rol, desplácese hasta IIS.
4. En el área Seguridad, haga clic para activar las casillas siguientes:
o Autenticación básica
o Autenticación de Windows
5. En el panel Seleccionar servicios de rol, haga clic en Siguiente y en Instalar
en el panel Confirmar selecciones de instalación.
6. Haga clic en Cerrar para salir del Asistente para agregar servicios de rol.
Autenticación Básica:
La autenticación básica requiere que los usuarios proporcionen un nombre de usuario y
una contraseña válidos para obtener acceso al contenido. Este método de autenticación
no requiere un explorador específico, ya que todos los exploradores principales lo
admiten. La autenticación básica funciona también en distintos firewall y servidores
Proxy. Por estos motivos, es una buena opción cuando desee restringir el acceso a parte
pero no a todo el contenido de un Servidor.
Descargar