I metodi di autenticazione utilizzati sui siti web sono molto importanti per identificare gli utenti e controllare l’accesso a file specifici, directory e scripts o eseguibili.
Il pannello Directory Security permette di configurare al meglio tali metodi in modo tale da prevenire potenziali pericoli. Esso si divide in Anonymous access and authentication control, IP address and Domain name restrictions e Secure Communications.
Anonymous access and authentication control permette di variare il metodo di autenticazione a seconda che ci si trovi su un Internet o su una Intranet: selezionando Edit è possibile personalizzare 4 metodi.
L'opzione Accesso anonimo abilitata concede o nega l'accesso a tutti i siti sul server di default. Se il sito sarà utilizzato in un Intranet e la rete interna si basa su Windows l'accesso anonimo dovrebbe essere disabilitato. Se il sito è accessibile ad Internet e la maggior parte dei siti Web permetteranno l'accesso anonimo, allora ha un senso mantenere l'opzione abilitata.
In aggiunta all'accesso anonimo ci sono altri 3 metodi di autenticazione:
- Autenticazione di Base: nome utente e password attraversano la rete Internet in "ClearText", ossia in testo chiaro. Questo permette ad un intrusore di catturare validi account e tentare di entrare nel sito.
- Digest: simile alla Basic ma invece di usare ClearText viene utilizzato un algoritmo di Hash delle password in modo da fornire maggiore sicurezza di autenticazione. L'autenticazione Digest è possibile utilizzarla solamente con i browser compatibili con HTTP 1.1 (da IE 5.o in su). Il server IIS 5 deve essere in Windows 2000 e le password utente immagazzinate in un file testo sul domain controller.
- Autenticazione Integrata in Windows: vengono usate le credenziali fornite dall’utente durante il l’accesso alla rete Windows. Può essere utilizzata solamente con Internet Explorer.
IP address and domain name restrictions permette all’amministratore di specificare chi può accedere al proprio sito WWW in base all’indirizzo IP. Le opzioni che è possibile impostare sono due: Granted Access e Denied Access. La prima permette a tutti i computer di accedere alle risorse eccetto a quelli identificati ed elencati da indirizzo IP. La seconda restringe l’accesso alle risorse solamente ai computer con indirizzo IP elencato. Le richieste di altri computer vengono negate. Quando si specificano gli indirizzi IP dei computer è possibile decidere se configurare l’opzione Single Computer (solamente un indirizzo IP), Group of Computers (gli amministratori specificano network ID e Subnet Mask) o nome di dominio (appare un messaggio che avverte la possibile diminuzione di performance nella rete).
Secure Communications è utilizzata per configurare le caratteristiche di SSL disponibili sul Web Server, abilitando la cifratura di tutto il traffico tra client e server. Una volta impostato, i visitatori devono utilizzare un browser capace di supportare comunicazioni sicure. Se il sistema richiede l’utilizzo di SSL per comunicazioni sicure tra i client e il server, è necessario installare un server certificato e il client deve avere un browser che possa supportarle. Un certificato viene creato da un’autorità di certificazione attraverso l’uso della crittografia a chiave pubblica.
La creazione di un certificato avviene tramite il tasto Server Certificate presente in Directory Security. Attraverso il Wizard è possibile:
- creare un nuovo certificato
- assegnare un certificato esistente
- importare un certificato da un file di backup “Key Manager”
- rinnovare l’attuale certificato
- rimuovere l’attuale certificato
- sostituire l’attuale certificato
Una volta che il sito è stato configurato per l’utilizzo dei certificati, è necessario attivare la sicurezza SSL sul sito che richiede l’accesso sicuro. I sviluppatori di siti web possono utilizzare scripts e certificati lato client per controllare l’accesso al sito. IIS supporta il mapping dei certificati client su specifici account utente Windows 2000, ossia la possiblità di assegnare ad un singolo utente uno o più certificati. Ciò permette di controllare ulteriormente il contenuto pubblicato sul web.
|