Wie erstelle ich ein Benutzerkonto für die Basisauthentifizierung?

79

Ich möchte meiner Website eine grundlegende Authentifizierung hinzufügen. Ich habe die Anweisungen im MSDN-Artikel zum Konfigurieren der Basisauthentifizierung (IIS 7) befolgt.

So verwenden Sie die Benutzeroberfläche

  1. Öffnen Sie den IIS-Manager und navigieren Sie zu der Ebene, die Sie verwalten möchten. Informationen zum Öffnen von IIS Manager finden Sie unter Öffnen von IIS Manager (IIS 7) . Informationen zum Navigieren zu Standorten in der Benutzeroberfläche finden Sie unter Navigation im IIS-Manager (IIS 7) .
  2. In der Ansicht Features , doppelklicken Sie auf Authentifizierung .
  3. Auf der Authentifizierung Seite, wählen Sie Standardauthentifizierung .
  4. Klicken Sie im Bereich Aktionen auf Aktivieren , um die Standardauthentifizierung mit den Standardeinstellungen zu verwenden.
  5. Optional können Sie im Bereich Aktionen auf Bearbeiten klicken, um die Standarddomäne und den Standardbereich einzugeben.
  6. In der Bearbeiten Standardauthentifizierung Einstellungen Dialogfeld, in dem Standarddomäne Textfeld geben Sie eine Standarddomäne oder lassen Sie es leer. Benutzer, die bei der Anmeldung bei Ihrer Site keine Domain angeben, werden bei dieser Domain authentifiziert.
  7. Im Realm Textfeld einen Bereich oder lassen Sie es leer. Im Allgemeinen können Sie für den Realm-Namen denselben Wert verwenden, den Sie für die Standarddomäne verwendet haben.
    • Wichtig
      Wenn Sie den Standarddomänennamen in das Textfeld "Bereich" eingeben, wird Ihr interner Microsoft Windows-Domänenname möglicherweise während der Benutzer- und Kennwortabfrage externen Benutzern zugänglich gemacht.
  8. Klicken Sie auf OK , um das Dialogfeld Grundlegende Authentifizierungseinstellungen bearbeiten zu schließen .

Folgendes habe ich bisher getan:

IIS Manager - Authentifizierung Authentifizierungsseite - Grundlegende Authentifizierung

Jetzt muss ich ein Benutzerkonto für die Basisauthentifizierung erstellen.

Weiß jemand, wie man Benutzer in IIS Manager erstellt?

Joseph Bi
quelle
1
Konnten Sie die Lösung dafür finden?
Pranag

Antworten:

76

Klicken Sie mit der rechten Maustaste auf Computer und wählen Sie "Verwalten" (oder gehen Sie zu Systemsteuerung> Verwaltung> Computerverwaltung). Unter "Lokale Benutzer und Gruppen" können Sie einen neuen Benutzer hinzufügen. Geben Sie diesem Benutzer dann die Berechtigung, das Verzeichnis zu lesen, in dem die Site gehostet wird.

Hinweis: Stellen Sie nach dem Erstellen des Benutzers sicher, dass Sie den Benutzer bearbeiten und alle Rollen entfernen.

Josh M.
quelle
11
Dies ist nicht ideal, da dadurch ein Angriffsvektor erstellt wird, mit dem sich Benutzer bei meinem Computer anmelden können. Der Ansatz, bei dem "IIS-Verwaltungsbenutzer" ohne Anmeldung oder lokale Berechtigungen auf meinem Windows-Computer erstellt wird, ist überlegen.
Warren P
6
@WarrenP - Nein, Sie entfernen einfach alle Rollen nach der Erstellung aus dem Benutzer und er kann sich nicht anmelden oder etwas tun, zu dem Sie ihm nicht ausdrücklich die Erlaubnis geben.
Josh M.
2
Ein lokales Benutzerkonto ohne Rollen kann also nichts tun? Gut. Die Standardrolle "lokaler Benutzer" ist diejenige, die die Anmeldung gewährt, und kann entfernt werden.
Warren P
@ WarrenP - das ist mein Verständnis. Unabhängig davon sollten Sie ein sicheres Kennwort für das Benutzerkonto festlegen.
Josh M.
3
Ich muss dies hier hinzufügen, da ich einige Zeit gebraucht habe, um es zu finden. Nachdem Sie den Benutzer erstellt und alle Rollen entfernt haben, wie von Josh M vorgeschlagen, müssen Sie die allgemeinen Einstellungen ändern, da der Benutzer das Kennwort bei der nächsten Anmeldung standardmäßig ändern muss angekreuzt und dies wird ein Problem verursachen. Sie möchten dies also deaktivieren und ankreuzen. Benutzer kann Passwort nicht ändern.
Dori Naji
24

Ich weiß, dass dies eine wirklich alte Frage ist, aber ich wollte eine Erklärung hinzufügen, die ich auf die harte Tour entdeckt habe (dies sind n00b-Informationen).

"Standardauthentifizierung" verwendet dieselben Konten, die Sie auf Ihrem lokalen Computer oder Netzwerk haben. Wenn Sie die Domäne und den Bereich leer lassen, werden tatsächlich lokale Konten verwendet. Um ein neues Konto hinzuzufügen, folgen Sie genau dem Vorgang, den Sie zum Hinzufügen eines normalen neuen Benutzerkontos zu Ihrem lokalen Computer ausführen würden (wie von JoshM beantwortet oder hier gezeigt ). Wenn Sie eine Domäne und einen Bereich eingeben, können Sie Netzwerkkonten in Ihrem lokalen Active Directory erstellen. Diese werden verwendet, um den Benutzer an- und abzumelden.

Da es das schon so lange gibt, ist die Basisauthentifizierung im Allgemeinen mit jedem Browser / System kompatibel, weist jedoch schwerwiegende Mängel auf:

  • Benutzer und Passwort werden im Klartext gesendet (außer über SSL)
  • Sie benötigen ein Benutzerkonto für jeden Benutzer oder Client

Weitere Informationen zur Basisauthentifizierung oder zu Benutzerkonten finden Sie auf der folgenden MSDN-Seite .

zog_w
quelle
6
Nochmal,. das ist nicht ideal. Kümmert sich hier niemand um die Sicherheit?
Warren P
@drew_w, ich verwende die IIS-Basisauthentifizierung. Können Sie die Standarddomäne bei der Konfiguration erläutern? Funktioniert es mit Active Directory?
Smwikipedia
1
@ WarrenP für die Sicherheit, ich denke, Sie können Basic Authentication + SSL versuchen.
Smwikipedia
7

Wenn Sie einen Benutzer mit der erweiterten Benutzerverwaltung (über die Befehlszeile netplwiz:) erstellen, ändern Sie die Gruppe, entfernen Sie Benutzer und fügen Sie iis_users hinzu. Sie können sich bei Ihrer Webseite authentifizieren, nicht jedoch beim Computer.

Uwe Donaldson
quelle
Danke, genau das habe ich gesucht. Die Gruppe wird jedoch IIS_IUSRSauf lokalen Computern " " genannt.
Bjoster
6

Ich konnte die Standardauthentifizierung unter Windows Server 2012 folgendermaßen erreichen:

Wählen Sie Ihre Site in IIS aus und wählen Sie Authentifizierung Geben Sie hier die Bildbeschreibung ein

Stellen Sie sicher, dass die Standardauthentifizierung die einzige aktivierte Option ist Geben Sie hier die Bildbeschreibung ein

DANN! Fügen Sie über den Server-Manager einen Benutzernamen und ein Kennwort hinzu . Wählen Sie Extras -> Computerverwaltung Geben Sie hier die Bildbeschreibung ein

Klicken Sie unter Systemprogramme -> Lokale Benutzer und Gruppen -> Benutzer mit der rechten Maustaste auf eine beliebige Stelle im mittleren Bereich, wählen Sie Neuer Benutzer. Geben Sie dann die Anmeldeinformationen ein, die Sie verwenden möchten. Geben Sie hier die Bildbeschreibung ein

Wenn Sie nun im Browser zur Site navigieren, sollte ein Authentifizierungsdialog angezeigt werden:

Geben Sie hier die Bildbeschreibung ein

Colin
quelle
5

Leider gibt es für IIS, das auf Windows 7/8-Computern installiert ist, keine Option, Benutzer nur für die IIS-Authentifizierung zu erstellen. Für Windows Server gibt es diese Option, mit der Sie Benutzer über die IIS Manager-Benutzeroberfläche hinzufügen können. Diese Benutzer haben nur Rollen in IIS, nicht jedoch für den Rest des Systems. In diesem Artikel wird gezeigt, wie Sie Benutzer hinzufügen. Es ist jedoch falsch anzugeben, dass dies auch für Standardbetriebssysteme gilt. Es gilt nur für Serverversionen.

kristi_io
quelle
Wie verwende ich einen lokalen Benutzer in der Basisauthentifizierung? Mein erstellter Benutzer wird nicht erkannt
spankmaster79
Vergessen Sie nicht, die Standardauthentifizierung in IIS Server zu aktivieren.
kristi_io
1
Laut hier ( technet.microsoft.com/en-us/library/cc771311%28v=WS.10%29.aspx ) ist der IIS Manager-Benutzer kein normaler Benutzer. Ich denke, es ist für Managementzwecke. Für das Hinzufügen eines Benutzers für die Basisauthentifizierung stimme ich der Antwort von draw_w zu.
Smwikipedia
Ich glaube nicht, dass IIS Manager für den normalen Gebrauch gedacht ist.
Smwikipedia
3
Ich weiß nicht, wie dies zu positiven Stimmen geführt hat. IIS Manager-Benutzer sind für den WMI-Dienst und nicht für die HTTP-Basisauthentifizierung. WMI wird für viele Zwecke verwendet, z. B. zum Veröffentlichen von Webanwendungen über Web Deploy. Die Frontend-Benutzerauthentifizierung gehört nicht dazu.
Jason Carter
3

Für mich sieht es so aus, als ob Windows 8 und IIS 7 keine Benutzeroberfläche mehr zum Erstellen eines Benutzernamens und Kennworts für die Basisauthentifizierung bereitstellen, bei der es sich NICHT um ein lokales Windows-Benutzerkonto handelt. Es ist eindeutig ein überlegener Ansatz, ein Nur-IIS-Benutzer / Kennwort-Authentifizierungspaar zu erstellen, aber es ist nicht klar und einfach, wie dies durchgeführt wird.

Zu diesem Zweck gibt es Befehlszeilentools. Einige Benutzer erstellen ein Windows-Konto und entfernen dann die Berechtigung "Lokal anmelden".

Warren P.
quelle
1

Konfigurieren Sie die Basisauthentifizierung anhand der Anweisungen von Microsoft . Geben Sie für den Standarddomänennamen Ihren Computernamen ein. Um Ihren Computernamen zu finden, klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Computer, klicken Sie auf Eigenschaften und suchen Sie dort nach Ihrem Computernamen :)

Erstellen Sie als Nächstes Benutzer, wie Sie es normalerweise unter Windows 7 tun würden, oder wenn Sie nicht wissen, wie es geht, gehen Sie zur Systemsteuerung, Benutzer, fügen Sie ein Konto hinzu ..... bla bla bla .... Erhalten Sie es?

Gehen Sie als Nächstes zu iis und legen Sie die Berechtigungen für den gerade erstellten Benutzer fest. Stellen Sie die Berechtigungen sorgfältig so ein, dass sie genau Ihren Wünschen entsprechen.

Das ist alles! Zum Login den Benutzernamen und das Passwort!

HINWEIS: Der Benutzername sollte aus einfachen Buchstaben und nicht aus Großbuchstaben bestehen. Da bin ich mir nicht sicher, deshalb habe ich dir das gesagt.

Alsan Ali
quelle
1

Nur um eine Notiz hinzuzufügen, da ich ohne 50+ Wiederholungen nicht kommentieren kann ...

Wenn Sie FIPS auf dem Server aktiviert haben, können Sie keine Benutzer erstellen. Da IIS v8 (und niedriger, wie ich mir vorstellen würde) keine FIPS-Verschlüsselungsalgorithmen verwendet. Es wäre großartig, wenn es dies unterstützen würde, da ein Benutzerkonto in Windows im Vergleich zu einem virtuellen Benutzer, der einem isolierten Ordner zugeordnet ist, offensichtlich unsicher ist. Schade.

Geben Sie hier die Bildbeschreibung ein

Barry
quelle
1

Klicken Sie im iis manager auf das Verzeichnis, um es zu schützen.

Autorisierungsregeln auswählen.

Fügen Sie die Regel "Anonyme Benutzer verweigern" hinzu.

add erlaube allen Benutzern die Regel.

Gehen Sie zurück zu: "Klicken Sie im iis Manager auf das Verzeichnis, um es zu schützen". Klicken Sie auf Authentifizierung. Deaktivieren Sie alle außer der Basisauthentifizierung.

Das Verzeichnis ist jetzt geschützt. Nur Personen mit Benutzerkonten können über das Web auf den Ordner zugreifen.

P GS
quelle
1
Ich weiß nicht, warum du herabgestimmt wirst, genau das habe ich gesucht.
Konrad Mikuła