Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 17 Webserver (IIS)
Pfeil 17.1 Begriffsdefinitionen
Pfeil 17.1.1 Webapplikation vs. Webservice
Pfeil 17.1.2 Website vs. Webseite
Pfeil 17.2 ASP.NET
Pfeil 17.2.1 Die Entwicklungsumgebung
Pfeil 17.2.2 Clientseitig: JavaScript
Pfeil 17.2.3 Die web.config-Datei
Pfeil 17.2.4 Kompilierung und Vorkompilierung
Pfeil 17.2.5 Sicherheit und ASP.NET
Pfeil 17.3 Installation
Pfeil 17.4 Kurzer Überblick über die Architektur des Webservers
Pfeil 17.4.1 Architektur
Pfeil 17.4.2 Anforderungsverarbeitung
Pfeil 17.4.3 Anforderungsverarbeitung im Anwendungspool
Pfeil 17.4.4 Die »Modulbauweise«
Pfeil 17.5 Webserver, Websites, Anwendungen, virtuelle Verzeichnisse und Anwendungspools
Pfeil 17.5.1 Die Zusammenhänge
Pfeil 17.5.2 Webserver
Pfeil 17.5.3 Anwendungspool
Pfeil 17.5.4 Website
Pfeil 17.5.5 Anwendung
Pfeil 17.5.6 Virtuelles Verzeichnis
Pfeil 17.6 Authentifizierung
Pfeil 17.6.1 Anonyme Authentifizierung
Pfeil 17.6.2 Standardauthentifizierung
Pfeil 17.6.3 Digestauthentifizierung
Pfeil 17.6.4 Windows-Authentifizierung
Pfeil 17.6.5 Authentifizierungsdelegierung
Pfeil 17.6.6 Webanwendungen und Kerberos
Pfeil 17.6.7 Delegierung, eingeschränke Delegierung und Protokollübergang
Pfeil 17.6.8 Formularauthentifizierung
Pfeil 17.7 Autorisierung
Pfeil 17.7.1 NTFS-Berechtigungen
Pfeil 17.7.2 URL-Autorisierung
Pfeil 17.8 Sonstiges zum Thema »Sicherheit«
Pfeil 17.8.1 SSL-Verschlüsselung
Pfeil 17.8.2 .NET-Vertrauensebenen
Pfeil 17.8.3 IP- und Domäneneinschränkungen
Pfeil 17.9 Sitzungszustand
Pfeil 17.10 Load Balancing und Redundanz
Pfeil 17.10.1 Verwendung von Microsoft NLB
Pfeil 17.10.2 Remoteanforderungen
Pfeil 17.10.3 Freigegebene Konfiguration
Pfeil 17.10.4 Sitzungsstatus
Pfeil 17.10.5 Datenbankserver
Pfeil 17.11 Administration
Pfeil 17.11.1 Remote-Administration
Pfeil 17.11.2 Remote-Administration für Nicht-Server-Administratoren und IIS-Benutzer
Pfeil 17.11.3 Delegierung von Features
Pfeil 17.11.4 Protokollierung
Pfeil 17.12 Der Best Practice Analyzer (BPA)
Pfeil 17.13 IIS-Schlussbemerkung


Galileo Computing - Zum Seitenanfang

17.7 Autorisierung Zur nächsten ÜberschriftZur vorigen Überschrift

Bisher haben wir uns, beinahe in epischer Breite, damit beschäftigt, einen Benutzer zu authentifizieren, also herauszufinden, wer da am Browser sitzt. In vielen Fällen reicht es wahrscheinlich sogar aus, für den Zugriff auf eine Webanwendung nur authentifizierte Benutzer zuzulassen, so dass eine feinere Unterteilung gar nicht notwendig ist.

Es gibt nun, vereinfacht gesagt, drei Möglichkeiten der Autorisierung:

  • Im einfachsten Fall (finde ich jedenfalls) werden NTFS-Berechtigungen auf einzelne Dateien oder Verzeichnisse gesetzt. Das funktioniert allerdings nur, wenn die Webanwendung die Identität des angemeldeten Benutzers annimmt (Impersonation). Läuft die Webanwendung mit der Identität des Anwendungspools und/oder gibt es für die zugreifenden Benutzer gar keine Konten im Active Directory, helfen die NTFS-Berechtigungen nicht weiter, da diese bekanntlich nur an Active Directory-Konten (bzw. Windows-Konten) vergeben werden können.
  • Falls eine Webanwendung nicht auf Active Directory-Konten basiert, lassen sich Unterverzeichnisse über die URL-Autorisierung schützen.
  • Die dritte Möglichkeit der Autorisierung geschieht sozusagen in der jeweiligen Webanwendung. Mittels ihrer Business-Logik kann sie entscheiden, welche Inhalte und Funktionen einem bestimmten authentifizierten Benutzer zur Verfügung stehen – oder eben auch nicht.

Galileo Computing - Zum Seitenanfang

17.7.1 NTFS-Berechtigungen Zur nächsten ÜberschriftZur vorigen Überschrift

Die NTFS-Berechtigungen sind schnell erklärt; wir befinden uns hier sozusagen nativ auf dem Filesystem. NTFS führt zu jeder Datei eine ACL (Access Control List, Zugriffssteuerungsliste). Bei der Arbeit mit NTFS-Berechtigungen werden einfach diese ACLs den Bedürfnissen entsprechend angepasst. Dies kann entweder im Datei-Explorer geschehen oder aus dem Internetinformationsdienste-Manager heraus, der mit dem Kontextmenü aus Abbildung 17.97 denselben Dialog aufruft.

Abbildung 17.97 In der Inhaltsansicht findet sich die Möglichkeit, die NTFS-Berechtigungen zu bearbeiten. Alternativ geht das auch mit dem Explorer.

Die NTFS-Autorisierung funktioniert in folgenden Fällen nicht:

  • An der Webanwendung melden sich über die formularbasierte Authentifizierung Benutzer an, für die kein Windows-Prinzipal (d. h. kein Active Directory-Konto) vorhanden ist.
  • Die Webanwendung führt keine Impersonation durch, nimmt also nicht die Identität des angemeldeten Benutzers an, sondern wird mit der des Anwendungspools ausgeführt.

Falls der angemeldete Benutzer nicht berechtigt ist, auf die angeforderte Datei zuzugreifen, reagiert der Webserver mit dem Statuscode 401 (unauthorized, Abbildung 17.98). Der Browser wird nach alternativen Anmeldeinformationen fragen.

Abbildung 17.98 Beim Zugriff auf eine Datei, für die der Benutzer nicht autorisiert ist, reagiert der Server mit dem Statuscode 401 (»Unauthorized«).


Galileo Computing - Zum Seitenanfang

17.7.2 URL-Autorisierung topZur vorigen Überschrift

Wenn die Autorisierung mittels NTFS-Berechtigungen nicht verfügbar ist, beispielsweise weil sich Benutzer anmelden, die nicht im AD vorhanden sind, können Sie Verzeichnisse oder Webseiten mittels URL-Autorisierung schützen.

Die URL-Autorisierung ist, wie fast alles, standardmäßig nicht installiert und muss folglich als Rollendienst nachinstalliert werden (Abbildung 17.99).

Nach der Installation des Rollendiensts steht ein neues Symbol namens Autorisierungsregeln auf der Ebene von Server, Website, Webanwendung und Verzeichnis zur Verfügung. Sie werden zwei Regeltypen anlegen können:

  • Autorisierungszulassungsregel, um Benutzer, Benutzergruppen oder Rollen auf einen Inhalt zugreifen zu lassen
  • Autorisierungsablehnungsregel, eben zum Verhindern des Zugriffs

Bei der Eingabe von Regeln können Sie nicht nur Windows-Prinzipale (d. h. AD-Benutzerkonten oder AD-Gruppen), sondern auch .NET-Benutzer und .NET-Rollen eintragen (Abbildung 17.100). Das Verfahren dürfte damit selbsterklärend sein.

Abbildung 17.99 Wie immer: Erst installieren und dann nutzen. Das gilt auch für die URL-Autorisierung.

Abbildung 17.100 Eingabe von Autorisierungsregeln



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de