IIS - configuración
Anuncio
INTERNET INFORMATION SERVICE No es un software de Windows que se instala de forma independiente, es una característica de Windows que está desactivada y que hay que poner en funcionamiento, para Activarla / Desactivarla: Desactivarla: a) Inicio / Programas / Herramientas Administrativas / Administrador del Servidor b) Funciones / Resumen de Funciones / Quitar Funciones c) Seguir el Asistente / Desmarcar Servidor Web Activarla: d) Inicio / Programas / Herramientas Administrativas / Administrador del Servidor e) Funciones / Resumen de Funciones / Quitar Funciones f) Seguir el Asistente / Marcar Servidor Web Publicar Nuestro Sitio en IIS: Por defecto al instalarse el IIS7 se creó por defecto un Sitio predeterminado en la dirección C:\inetpub\wwwroot. Podemos utilizar este directorio predeterminado para publicar nuestro contenido Web o crear un directorio en una ubicación del sistema de archivos que elijamos. Al agregar un sitio web al IIS7, se crea una entrada del sitio en el archivo ApplicationHost.config. La entrada especifica el enlace para el sitio, asigna el sitio a una ubicación en el sistema de archivos y de forma opcional especifica las credenciales del usuario para el acceso al contenido. a) b) c) d) e) Vamos al Administrador de Servicios de Internet Pulsamos con Derecho sobre Sitios Agregar Nuevo Sitio Especificamos un Nombre El Grupo de Aplicaciones lo dejamos por defecto Los grupos de aplicaciones aíslan sitios para solucionar problemas de confiabilidad, disponibilidad y seguridad. Debe considerar la creación de grupos de aplicaciones por alguno de los motivos siguientes: a. Agrupar sitios y aplicaciones que se ejecutan con la misma configuración b. Aislar sitios que se ejecutan con una configuración única c. Aumentar la seguridad utilizando una identidad personalizada el ejecutar una aplicación d. Separar el contenido del cliente para evitar que los recursos de un cliente tenga acceso a los recursos de otro cliente, aunque ambos sitios estén en el mismo servidor web. e. Mejorar el rendimiento f) Seleccionamos la Ruta de Acceso al Contenido Web g) Si la ruta de acceso física anterior es para un recurso compartido remoto haremos click en Conectar Como para especificar las credenciales que tienen permiso para obtener acceso a la ruta. Si no utiliza credenciales específicas, seleccionaremos la opción por defecto Usuarios de la aplicación (autenticación de paso a través) en el cuadro Conectar Como. h) Podemos especificar una dirección IP estática para el acceso al sitio Web en el caso que tuvieramos varias direcciones IP asignadas a nuestro servidor o dejarla general con la opción por defecto y asignamos puerto de acceso. i) Por último Detenemos el Web Site por defecto seleccionándolo y parando el Servicio y activamos nuestro site seleccionándolo y pulsando a Iniciar. j) Probamos el acceso introduciendo la dirección asignada por el proveedor en nuestro navegador local Acceso por Puerto: Al igual que hacíamos con nuestro Apache tenemos la posibilidad de asignar un acceso por puerto a nuestro sitio Web. a) Pulsamos con Derecho sobre el Sitio al que le queremos aplicar el nuevo Puerto. b) Enlaces c) En la pantalla que se presenta vemos la configuración inicial con el puerto 80 asignado a todas las comunicaciones de IP que tenemos disponibles, pulsamos en Agregar Enlace. d) Asignamos nuevo puerto. e) Su el puerto ya estuviera compartido por otro Sitio que tuvieramos creado Windows nos advertiría que el puerto ya está en activo para otro Sitio, si el sitio no esta iniciado no tiene que haber ningún problema. f) Al intentar acceder con el navegador por el puerto especificado la petición no termina de producirse, el Firewall de Windows está bloqueando nuestra petición, tenemos que aplicar alguna regla para permitir el acceso. g) Nos vamos a las Herramientas Administrativas / Firewall / Reglas de Entrada h) Creamos una regla de Entrada por Puerto para el puerto que queramos liberar. i) Al intentar acceder ahora no tenemos ningún problema Directorios Virtuales (Alias - Apache): Un directorio virtual es un directorio del servidor que no está dentro del directorio de publicación habitual, es decir, un directorio que no depende de la Raíz del sitio que se especifico en la configuración inicial del Web Site, pero que sí se puede acceder a través del Servidor Web como si estuviera dentro de dicho directorio, es algo parecido a la que hacíamos con el Alias de Apache para tener acceso transparente para el Usuario a Zonas de nuestro Servidor que se salían del ámbito establecido por el DocumentRoot. Los directorios virtuales se pueden mapear hacia otro directorio de nuestros discos duros o incluso a otro directorio situado en otro ordenador de la red. a) Pulsamos con botón derecho sobre el sitio Web al que le queremos añadir el Directorio Virtual. b) Agregar Directorio Virtual c) Introducimos el Alias con el que vamos a acceder al directorio a través de la dirección del Servidor. d) Seleccionamos el directorio al que va a apuntar el Directorio Virtual e) Ya lo tenemos agregado. Nota: daros cuenta que al seleccionar el Directorio Virtual el cuadro de mandos de Documentos de Error, Páginas Predeterminadas de Visualización,.. es independiente. Control de Acceso en IIS: La autenticación sirve para confirmar la identidad de los clientes que solicitan el acceso a sus sitios y aplicaciones. IIS7 admite la autenticación anónima e integrada de Windows de forma predeterminada. IIS admite autenticación basada en desafío y basada en redirección de inicio de sesión: - Desafío: requiere que un cliente responda correctamente a un desafío iniciado por un Servidor. Redirección de Inicio de Sesión: se basa en la redirección a una página de inicio de sesión para determinar la identidad del usuario. Tipos de Control de Acceso: Al igual que hicimos con nuestro servidor Apache tenemos la posibilidad de realizar controles de acceso en zonas de nuestro Web Site, de hecho estos controles de acceso habilitados serán un requisito indispensable para instalar servidores de correo mediante Exchange, estos Servicios por defecto están deshabilitados, para activarlos: Para instalar los componentes de IIS 7 para el rol de servidor de CAS con el Administrador de servidores de Windows Server 2008 1. Haga clic en Inicio, en Herramientas administrativas y en Administrador de servidores. 2. En el panel de navegación, expanda Roles, haga clic con el botón secundario en Servidor web (IIS) y haga clic en Agregar servicios de rol. 3. En el panel Seleccionar servicios de rol, desplácese hasta IIS. 4. En el área Seguridad, haga clic para activar las casillas siguientes: o Autenticación básica: Al ingresar en una determinada Zona de nuestro Servidor el navegador nos solicita Usuario – Contraseña. Comunicación No Cifrada Equivalente al AuthBasic de Apache. 1. 2. 3. 4. El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el usuario debe escribir su nombre de usuario y contraseña de Windows previamente asignados, que también se conocen como credenciales. El explorador Web intentará establecer la conexión con un servidor, mediante las credenciales del usuario. La contraseña de texto simple se codifica en Base64 antes de enviarla a través de la red. Importante La codificación en Base64 no es un cifrado. Si una contraseña codificada en Base64 es interceptada en la red por un husmeador de redes, la contraseña puede ser descodificada y utilizada por personas no autorizadas. Si las credenciales de un usuario son rechazadas, Internet Explorer muestra una ventana de diálogo de autenticación para que el usuario vuelva a escribir 5. sus credenciales. En Internet Explorer se permite al usuario tres intentos de conexión antes de informarle de que no se puede establecer la conexión. Cuando el servidor Web compruebe que el nombre de usuario y la contraseña corresponden a una cuenta de usuario válida de Microsoft Windows, se establecerá una conexión. La autenticación básica tiene la ventaja de que forma parte de la especificación HTTP y es compatible con la mayoría de los exploradores. La desventaja de los exploradores Web que utilizan la autenticación básica es que transmiten las contraseñas sin cifrar. Mediante la supervisión de las comunicaciones en la red, alguien podría fácilmente interceptar y descodificar estas contraseñas mediante herramientas de dominio público. Por tanto, la Autenticación básica no es recomendable a menos que tenga la seguridad de que la conexión entre el usuario y el servidor Web sea segura, como una línea dedicada o una conexión Capa de sockets seguros (SSL) o Autenticación implícita: al ingresar en alguna zona específica de nuestro Servidor, este nos solicita Usuario y Contraseña con la amplicación que las comunicaciones también están cifradas, este método es equivalente al Digest de Apache: La autenticación de texto implícita ofrece la misma funcionalidad que la autenticación básica. Sin embargo, la autenticación de texto implícita supone una mejora en la seguridad debido a la forma en que se envían las credenciales del usuario a través de la red. La autenticación de texto implícita transmite las credenciales a través de la red como un hash MD5, también conocido como mensaje implícito, en el que el nombre de usuario y la contraseña originales no pueden descifrarse del hash. La autenticación de texto implícita está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV). Antes de habilitar la autenticación de texto implícita en el servidor IIS, asegúrese de que se cumplen los requisitos mínimos siguientes. Sólo los administradores de dominio pueden comprobar que se cumplen los requisitos del controlador de dominio (DC). Si tiene dudas, consulte al administrador del dominio si el controlador del dominio cumple con los requisitos siguientes: Todos los clientes que tienen acceso a un recurso protegido con autenticación de texto implícita van a utilizar Internet Explorer 5.0 o posterior. o o o El usuario y el servidor IIS deben ser miembros o tener la confianza del mismo dominio. Los usuarios deben tener una cuenta válida de usuario de Windows almacenada en Active Directory en el controlador de dominio. El controlador del dominio debe ser un equipo con Windows 2000 o posterior. El servidor IIS debe ser un equipo con Windows 2000 o posterior. Autenticación de Windows: para INTRANET. Autorización para URL: permite realizar reglas de acceso a Zona de la Web que posteriormente se asignan a usuarios o grupos. Restricciones de Nombres de Dominios y Direcciones IP: Denegar el acceso por IP o Domino a Zonas Completas o Parciales de nuestro Servidor esta herramienta es equivalente al Allow, Deny de Apache. 5. En el área Rendimiento, haga clic para activar las casillas siguientes: o Compresión estática o Compresión dinámica 6. En el panel Seleccionar servicios de rol, haga clic en Siguiente y en Instalar en el panel Confirmar selecciones de instalación. 7. Haga clic en Cerrar para salir del Asistente para agregar servicios de rol. Instalar los componentes de IIS 7 para el rol de servidor Buzón de correo con el Administrador de servidores de Windows Server 2008 1. Haga clic en Inicio, en Herramientas administrativas y en Administrador de servidores. 2. En el panel de navegación, expanda Roles, haga clic con el botón secundario en Servidor web (IIS) y haga clic en Agregar servicios de rol. 3. En el panel Seleccionar servicios de rol, desplácese hasta IIS. 4. En el área Seguridad, haga clic para activar las casillas siguientes: o Autenticación básica o Autenticación de Windows 5. En el panel Seleccionar servicios de rol, haga clic en Siguiente y en Instalar en el panel Confirmar selecciones de instalación. 6. Haga clic en Cerrar para salir del Asistente para agregar servicios de rol. Autenticación Básica: La autenticación básica requiere que los usuarios proporcionen un nombre de usuario y una contraseña válidos para obtener acceso al contenido. Este método de autenticación no requiere un explorador específico, ya que todos los exploradores principales lo admiten. La autenticación básica funciona también en distintos firewall y servidores Proxy. Por estos motivos, es una buena opción cuando desee restringir el acceso a parte pero no a todo el contenido de un Servidor.