Page 1 of 47 1. Instalación del servicio con Windows 2008 Server Ahora realizaremos la instalación del servidor Web. Nos iremos a la consola de administración del servidor para añadir esta función: Pulsamos en "Siguiente" y después de una pantalla de información, tendremos los componentes de IIS, veamos:
Page 2 of 47 Veamos que componentes necesitaremos instalar para una configuración estándar... Características HTTP comunes. Son las funciones básicas de IIS, las necesarias para servir páginas Desarrollo de aplicaciones. Si queremos que tenga soporte para ASP.NET. Para páginas sin programación no es necesario pero para desarrollar páginas y que ejecute el código ASP.NET es imprescindible así que la marcaremos. Estado y diagnóstico. Se encarga de registrar lo que sucede en el servidor. Por defecto ya marca el "registro HTTP" que registrará todos los accesos al servidor. El registro personalizado nos permitirá almacenar determinados campos de los accesos para tener un control de las páginas vistas con los campos definidos. La opción registro ODBC es para almacenar esta información en una base de datos que se comunica a través de ODBC. No es recomendable porque genera mucho tráfico si el sitio web tiene muchos accesos. Seguridad. Se encarga de definir el tipo de acceso al servidor y otra información importante para controlar el acceso, marcaremos todos. Rendimiento. Se encargar de administrar la caché para la mejora del rendimiento. Es necesario si vamos a crear sitios web con muchos accesos y con páginas dinámicas ASP.NET Herramientas de administración. Proporciona la interfaz y elementos para administrar nuestro IIS7, las marcaremos. Servicio de publicación de FTP. Lo instalamos porque lo vamos a probar en nuestro servidor. Marcaremos toda la sección de "Desarrollo de aplicaciones". Una vez seleccionadas estas opciones nos mostrará, como siempre, un resumen de lo que va a instalar, pulsaremos para terminar y veremos una barra de progreso con la instalación.
Page 3 of 47 1.1. Comentarios: Técnicamente las páginas web utilizan el protocolo HTTP de TCP/IP que corresponde al puerto 80. Por lo tanto el navegador intenta conectarse a la dirección del servidor mediante el puerto 80. Nuestro servidor IIS no tiene ninguna desventaja del famoso Apache de Linux. De hecho si quitamos la gratuidad al servidor Apache no le queda absolutamente nada que no pueda hacer IIS, incluso al contrario: la orientación a componentes de IIS es mucho mas completa y mejor implementada que la del Apache. IIS soporta la misma carga de clientes, es fácil de instalar y configurar y su mantenimiento es trivial cosa que no se puede decir de su competidor. Uno de los temas en los que Microsoft todavía tienen que avanzar es en la seguridad, el abarcar tantos conceptos, tecnologías y componentes hace que IIS sean mas susceptible de tener agujeros de seguridad que su competidor, mas simple y limitado. En cualquier caso en las Intranets, IIS de Microsoft gana por goleada. A lo largo de este curso iremos viendo porqué y que elementos podremos integrar en nuestra Intranet. Aun así y comprendiendo la importancia del mundo Web hay una versión de Windows 2003 y 2008 Server llamada "Web Edition" que permite de una forma muy económica montar un sitio Web con toda la potencia de su entorno e integrado perfectamente en nuestra red. Le han limitado algunos servicios pero dispone de todo lo necesario para desempeñar su función perfectamente. Todo a un previo muy asequible que queda perfectamente amortizado por la cantidad de horas necesarias para configurar un servidor Linux. Como complemento a nuestra Intranet debemos utilizar bases de datos para almacenar información. Quizás el uso de las bases de datos en las Intranets sea la parte mas importante porque la función de una Intranet que es proporcionar información debe estar de alguna forma almacenada y ordenada en bases de datos. En capítulos posteriores hablaremos en profundidad de las bases de datos pero como en esta introducción estamos explicando lo que necesitamos para construir nuestra Intranet, no podíamos dejar de comentar esta parte. IIS ofrece una administración muy sencilla que se realizará mediante el Administrador de servicios de Internet. IIS permite que el desarrollo de aplicaciones Web sea mucho más robusto y la creación de sitios Web sea más configurable y completa. Ofrece un entorno escalable basado en los componentes cliente/servidor que se pueden integrar dentro de las aplicaciones Web. Internet Information Server es el servidor Web más rápido y recomendable para la plataforma Windows 2003/2008, ya que se encuentra integrado completamente con el Servicio de Directorios de Windows (directorio activo), esta combinación del servicio Web con los servicios del sistema operativo permite desarrollar aplicaciones basadas en la Web fiables y escalables. Que conste que esto no lo he sacado de la propaganda, Microsoft suele dejar los programas mal terminados
Page 4 of 47 (agujeros de seguridad, fallos) pero las ideas son buenas y casi siempre aporta facilidad de uso. Será el más criticado pero también hay que reconocer que está en el 90% de todos los ordenadores del mundo. 2. Primeros pasos con IIS Si la instalación ha sido correcta podremos entrar ya en nuestro sitio web. Para comprobarlo basta con iniciar un explorador web y escribir en la barra de dirección el nombre de nuestro servidor web, en nuestro caso le hemos llamado "servidor". Con Windows 2008 Server: Pantalla que nos da la bienvenida al servidor IIS y nos facilita alguna herramienta de administración a través de páginas web. Sin embargo lo habitual y recomendable es que trabajemos desde otro equipo. En construcción El sitio al que intentó conectarse no tiene en este momento una página predeterminada. Es posible que esté en proceso de actualización. Inténtelo de nuevo más tarde. Si el problema continúa, póngase en contacto con el administrador del sitio Web. Si tenemos un Windows Server 2003 veremos un mensaje como el anterior si estamos entrando desde fuera del servidor. Si nos fijamos en el mensaje lo que al principio podíamos tomar como
Page 5 of 47 un error es simplemente un mensaje que le falta una página de inicio al servidor web. La versión 4.0 de NT Server si que activaba por defecto un sitio web de ejemplo pero ese sitio era un agujero de seguridad puesto que permitía realizar algunas operaciones "peligrosas" por este motivo en el Server 2003 Microsoft no activa ningún web sino que devuelve una página diciendo que si está funcionando pero que ahora hay que alimentarlo. Por lo tanto, para empezar a configurar los sitios Web debe indicar los directorios que contienen los documentos que desea publicar. El servidor Web no puede publicar documentos que no están en los directorios especificados. Por lo tanto, el primer paso para desarrollar un sitio Web debe ser determinar cómo desea organizar los archivos. Después se utiliza el complemento IIS para identificar los directorios que forman parte del sitio. La estructura de directorios que IIS crea es la siguiente: En la unidad C se crea el directorio "Inetpub" y de ahí los servicios instalados, en la imagen están además del servicio web "wwwroot" el servicio de mensajeria "mailroot" y el de transferencia se ficheros "ftproot". Luego... inicialmente cuando solicitemos una página irá a buscarla al directorio c:\inetpub\wwwroot La administración en Windows 2008 Server ha cambiado radicalmente respecto a la de Windows 2003 Server. Ahora es mas completa y permite muchas mas opciones. Dada su grandísima diferencia me tendría que extender mucho en esta primera parte así que me voy a centrar solo en la versión de Windows 2008 Server ya que es la última y la mas similar si queremos instalar el IIS en Windows Vista o Windows 7. En Windows Vista o Windows 7 tenemos una versión reducida de Internet Information Server. Si lo instalas podrás comprobar muchas de las opciones que vamos a ver a continuación. Pero es una versión limitada y deberíamos acudir a la versión del servidor. 3. La consola Administrativa de IIS en Windows Server 2008 3.1 Página de inicio de la administración de IIS7 Vamos a ver la página de administración de IIS7. Los que conocíais las versiones anteriores veréis que han cambiado un poco de sitio pero está todo y bien ordenado. En las herramientas administrativas abrimos el administrador de IIS7:
Page 6 of 47 El aspecto es el mismo que en las otras funciones del servidor. En las conexiones mas recientes tenemos los servidores a los que nos hemos conectado últimamente, a continuación las tareas mas comunes para conectarse con otros servidores y luego información en línea sobre IIS7. Cada servidor Web se compone de uno o varios grupos de aplicaciones:
Page 7 of 47 Estos son los motores de las aplicaciones que pueden ejecutar, en el ejemplo anterior tenemos: Classic.NET AppPol. Ejecuta las aplicaciones ASP.NET DefaultAppPool. Ejecuta aplicaciones estáticas y otras páginas de código antiguas. TSWebAccess. Puede que no la tengas, a mi me aparece porque la añadí antes en la configuración de los servicios de terminal. Son un grupo de páginas que permiten conectarse a servidores de terminales mediante páginas web. Como ves queda muy organizado ya que es muy buena la idea de los grupos de aplicaciones. Por ejemplo, cuando ejecutamos aplicaciones.net utilizaremos ese motor y usará un espacio de direcciones propio para sus operaciones. Otras aplicaciones ejecutarán entonces otros motores que no interferirán con el que está ejecutando las páginas ASP.NET. Además al ejecutarse como si fueran aplicaciones diferentes, cada una puede tener sus propios parámetros de seguridad, memoria y recursos. En definitiva, el dividir en aplicaciones todo lo que puede ejecutar el servidor hace que sea mas eficiente, escalable y seguro. Date cuenta que podemos instalar un nuevo componente que ejecute por ejemplo código PHP (Linux) y se instalará como una aplicación mas del servidor IIS7. Lejos quedan los tiempos en los que IIS ejecutaba todo tipo de aplicaciones y páginas utilizando el mismo entorno de trabajo, espacio de memoria y propiedades. Esto lo hacía mas lento y mucho mas inseguro al compartir en el mismo espacio de memoria todas las aplicaciones. Definitivamente es una buena idea separar las aplicaciones. Habrás visto que tenemos también nuestra parte para el servicio de FTP. Si lo seleccionamos veremos un mensaje a la derecha que nos indica que pulsemos para administrar el servicio FTP, si le damos obtenemos esta nueva consola administrativa:
Page 8 of 47 Pues si, nos muestra la consola de la versión anterior IIS 6.0 como ves en el propio título. Esto significa que es exactamente el mismo servicio con las mismas opciones que tenía Windows 2.003 Server. Por último y antes de ver todo lo que tiene este servicio fíjate que al pulsar en el servidor: Vemos los iconos para configurar cada una de las partes del servicio. Esto antes era un grupo de solapas y ahora se han separado en un grupo de iconos. Si vienes de Windows 2.003 Server, no te preocupes, son las mismas cosas ampliadas. Básicamente se divide en tres niveles: Servidor Web. Configura todos los sitios web del servidor y las propiedades de él mismo. Utilizaremos estas opciones para configurar todos los sitios web que contiene y el comportamiento general del servidor. Sitio Web. Configura únicamente el sitio web seleccionado, sin afectar a los otros sitios webs alojados en el servidor.
Page 9 of 47 Aplicación o directorio. Controla la funcionalidad de una aplicación o de un directorio. Lo que configuremos aquí sobrescribe a lo que se haya puesto en el nivel anterior de la configuración del web. Por ejemplo, si en una carpeta determinada del sitio web queremos dar permisos distintos o queremos que se puedan explorar los directorios desde el navegador. 3.2 Características ASP.NET ASP.NET tiene un valor muy importante en las instalaciones corporativas porque cada vez mas las aplicaciones tienden a administrar o explotarse desde web. PHP en el mundo Internet y ASP.NET en las Intranets son los mas utilizados en el mundo ahora mismo. En esta versión de IIS7 se han potenciado mucho las aplicaciones sobre esta plataforma en varios aspectos, mejorar su rendimiento y facilitar su administración. Veamos cada uno de los iconos o secciones: Compilación de.net. Cuando un desarrollador crea una aplicación en.net, ésta permanece en código fuente hasta que se ejecuta. Es decir, se crear una página con código asp.net pero hasta que no se solicita no se compila para ejecutarse. Las demás peticiones ya no requerirán la compilación de la página y utilizarán ya ese código. El usuario siempre verá una aplicación compilada. Si vemos sus opciones: Son parámetros para controlar la salida, como el tamaño máximo del archivo resultado. Activar la depuración, imprescindible para los desarrolladores, el control de los ensamblados que utiliza la aplicación para los recursos.
Page 10 of 47 Globalización de.net. Esta opción nos ayudará a configurar los idiomas utilizados en.net. Así sabe qué debe devolver según el idioma definido y en que formato. Si dejamos la predeterminada, será la aplicación ASP.NET quien defina estos parámetros del idioma. Parece que no, pero para que veas la importancia, afectaría al formato de las fechas, monedas y números. También en la forma de codificación de las páginas para su transmisión, utilizando el mas común, UTF. Niveles de confianza de.net. Introduce el concepto de la confianza del código. Si permitimos una confianza total, el servidor ejecutará todo sin restricciones ni límite de acceso a los recursos. Pero es muy peligroso para su explotación, sería un nivel únicamente para una máquina de desarrollo sin salida al exterior. Veamos los niveles: Full. Utilizado solo para desarrollo. No proporciona ningún mecanismo de seguridad High. Para uso interno (intranets) con acceso a los recursos. La seguridad es mínima pero al tratarse de Intranets de la empresa, suponemos que si debe tener acceso a los recursos excepto a acciones que pueden comprometer al sistema Medium. Para redes privadas con limitación de recursos. La seguiremos utilizando en Intranets y limita el acceso a muchos recursos. Aun así alguien "malicioso" si podría ejecutar código para saltarse la seguridad. Low. Para acceso público. Proporciona buena protección a la red pero si no está correctamente configurada la aplicación se podrían acceder a recursos del servidor Minimal. Para acceso público. Cuando no se tiene confianza en nadie, la mayoría de las aplicaciones no se ejecutarán pero es la opción mas segura. Configuración de aplicaciones. Si queremos crear código personalizado que ejecute el servidor. Las entradas se escriben de la forma -> nombre:valor. El código lee el valor establecido en el nombre y realiza las tareas apropiadas basándose en el valor proporcionado. Cadenas de conexión. Proporciona información para que las aplicaciones puedan conectarse a bases de datos. Es una forma mucho mas sencilla que antes porque definiremos aquí las cadenas conexión quedando
Page 11 of 47 ocultas para la aplicación y así no descubrir información. Verás que ya hay una creada que apunta al propio servidor y que no debemos borrar. Clave del equipo. La clave de equipo proporciona la encriptación necesaria para proteger las aplicaciones. Con esta opción garantizamos mas la seguridad de los datos. Páginas y controles. Proporciona un aspecto robusto y coherente a las aplicaciones basadas en ASP.NET 2.0 y superior. Los que sepáis este lenguaje os sonarán las opciones que veréis aquí y que podemos predefinir en el sitio web: muy práctico!
Page 12 of 47 Proveedores. Se trata de las conexiones a bases de datos para proporcionarlas a IIS7. Como ves todo gira a integrar las aplicaciones ASP.NET con IIS ya que antes apenas había conexión entre las dos partes y tenían muchos ficheros de configuración distintos. Los proveedores incluyen varias de las entradas necesarias para conectar IIS7 con los datos: usuarios.net, roles.net, perfiles.net. Estado de la sesión. Un capítulo muy importante en las aplicaciones.net ya que trata entre otras cosas del tiempo de vigencia de las variables de las aplicaciones:
Page 13 of 47 HTTP no mantiene información de ninguna sesión: cuando el usuario solicita una página el servidor abre y cierra la conexión. Esto no es válido para sitios web con identificación de usuarios, así que tenemos aquí los mecanismos para mantener una serie de variables "vivas" mientras exista la conexión con el usuario. De esta forma podemos tener la misma información en varias páginas de la visita (usuario). En esta sección mantendremos las variables de tipo "session", si te animas al curso de ASP.NET 3.5 (versión de 2.008) verás y aprenderás a fondo este interesante mundillo de la programación web. De las opciones mostradas, las predeterminada "en proceso" es la más rápida ya que utiliza la memoria del sistema aunque gasta algo de recursos. Correo electrónico SMTP. El protocolo de transferencia simple de mensajes, o SMTP, es una parte de la instalación básica de IIS7. En este caso el uso de SMTP es para tareas administrativas y no para su uso como pasarela de correo. Es muy habitual que las aplicaciones manden correos con el estado de la administración de éstas o del la "salud" de las aplicaciones. IIS7 proporciona una opción para configurar la dirección de correo SMTP para utilizarla en la aplicación. La configuración identifica a la aplicación, no al recipiente, es decir, la configuración le dice a IIS7 como configurar la aplicación. La configuración es muy sencilla y podemos establecer distintas direcciones de correo en distintos niveles: aplicación, webs individuales,...
Page 14 of 47 Proporciona dos métodos para enviar correos: utilizar un servidor SMTP o almacenar los correos localmente. En los dos casos debemos proporcionar una dirección de correo que será la que figure como el origen. Luego indicaremos un servidor SMTP con su puerto, habitualmente y como viene de forma predeterminada, el 25. Si es necesario identificarse lo indicaremos en las siguientes casillas. Hay que asegurarse de poner bien los credenciales para identificarse en servidores externos. Recuerda que para el curso utilizaremos el servidor de páginas que incorpora el Visual Web Developer, por lo tanto podrías 3.3 Características de las sección IIS Hemos visto para que sirven los iconos de la parte de ejecución de aplicaciones, veamos ahora los de las características del propio servidor web IIS7:
Page 15 of 47 Son las mismas opciones y algunas mas que teníamos antes en la pantalla de propiedades, aunque haya cambiado de posición es lo mismo, así que si conoces IIS6 no te costará reconocer estas opciones que antes eran solapas de la página de propiedades: ASP. Ya sabemos que es el lenguaje para hacer páginas "inteligentes" con ejecución de código. Antes hemos tratado de los detalles de ASP.NET, en este caso se trata de la versión anterior de estas páginas que se llamaban simplemente ASP: Al ser mas sencillas que las ASP.NET las opciones son muy pocas y se refieren a los parámetros de depuración, búfer, juegos de caracteres. Ojo no confundas esto con lo anterior, se trata de las
Page 16 of 47 páginas ASP antiguas (extensión.asp) y no de los nuevos motores.net (extensión.aspx). Algunas de las opciones interesantes son: Habilitar búfer. Esta opción está deshabilitada por defecto en IIS 4.0. También afecta al funcionamiento de las ASP que veremos mas adelante. Habilitar rutas de acceso primarias. Permite que las páginas ASP utilicen rutas de acceso relativas para el directorio primario del directorio actual (rutas de acceso con la sintaxis "..") Lenguaje ASP predeterminado. Tenemos dos motores instalados: Vbscript y Javascript y podemos utilizar cualquiera de ellos. De forma predeterminada y el recomendado es VBScript Si conoces IIS6 verás que las opciones son iguales que las anteriores, te muestro la pantalla de IIS6 para que veas las similitudes: Autenticación. Podemos configurar IIS para autenticar o determinar la identidad de la cuenta de un usuario de Windows, antes de permitir que éste establezca una conexión de red con su servidor. Sin embargo, la autenticación de los usuarios sólo tendrá lugar cuando esté desactivado el acceso anónimo o cuando los permisos NTFS requieran que los usuarios se identifiquen con el nombre y la contraseña de una cuenta de usuario válida de Windows. Con las opciones de autenticación que ofrece IIS, podemos elegir un método de autenticación que se ajuste a los requisitos de seguridad y a las capacidades del explorador Web del usuario. Puede especificar que los usuarios proporcionen el nombre de usuario y la contraseña de una cuenta de usuario válida de Microsoft Windows para poder tener acceso a cualquier información
Page 17 of 47 del servidor. Este proceso de identificación recibe el nombre de autenticación. La autenticación, como muchas de las características de IIS, se puede establecer para sitios Web, directorios o archivos. IIS proporciona los siguientes métodos de autenticación para controlar el acceso al contenido del servidor. Veamos los métodos mas importantes Autenticación anónima La autenticación anónima proporciona a los usuarios acceso a las áreas públicas del sitio Web o FTP sin preguntar el nombre de usuario o la contraseña. Cuando un usuario intenta conectarse al sitio Web o FTP público, el servidor Web le asigna la cuenta de usuario de Windows llamada IUSR_nombre_equipo, donde nombre_equipo es el nombre del servidor en el que se ejecuta IIS. De manera predeterminada, la cuenta IUSR_nombre_equipo está incluida en el grupo de usuarios Invitados de Windows. Este grupo tiene restricciones de seguridad impuestas por los permisos NTFS, que designan el nivel de acceso y el tipo de contenido que hay a disposición de los usuarios públicos. Si tiene varios sitios en el servidor o si tiene áreas de su sitio que requieren diferentes privilegios de acceso, puede crear varias cuentas anónimas, una para cada sitio Web o FTP, directorio o archivo. Al dar a estas cuentas diferentes permisos de acceso o al asignar estas cuentas a grupos de usuarios de Windows diferentes, puede otorgar a los usuarios acceso anónimo a distintas áreas de contenido público Web y FTP. 1. 2. 3. 4. 5. La cuenta IUSR_nombre_equipo se agrega al grupo Invitados del equipo IIS durante la instalación. Cuando se recibe una solicitud, IIS suplanta la cuenta IUSR_nombre_equipo antes de ejecutar cualquier código o de tener acceso a cualquier archivo. IIS puede suplantar la cuenta IUSR_nombre_equipo porque conoce el nombre de usuario y la contraseña de esta cuenta. Antes de devolver una página al cliente, IIS comprueba los permisos de archivos y directorios NTFS para determinar si la cuenta IUSR_nombre_equipo tiene acceso al archivo. Si está permitido el acceso, se completará la autenticación y los recursos estarán disponibles para el usuario. Si no está permitido el acceso, IIS intentará utilizar otro método de autenticación. Si no hay ninguno seleccionado, IIS devolverá al explorador un mensaje de error "HTTP 403 Acceso denegado". La cuenta anónima debe tener el derecho de usuario para el inicio de sesión local. Si la cuenta no tiene el permiso Inicio de sesión local, IIS no podrá atender ninguna solicitud anónima. La instalación de IIS concede específicamente el permiso Inicio de sesión local a la cuenta IUSR_nombre_equipo. De forma predeterminada, las cuentas IUSR_nombre_equipo de los controladores de dominio no se asignan a las cuentas de invitados. Para permitir inicios de sesión anónimos, debemos cambiar las cuentas IUSR nombre_equipo a Inicio de sesión local Autenticación básica La autenticación básica es un método estándar muy extendido para recopilar información de nombre de usuario y contraseña. El proceso para autenticar se realiza de la siguiente forma:
Page 18 of 47 1. 2. 3. 4. El explorador Web Internet Explorer muestra un cuadro de diálogo en el que el usuario debe escribir su nombre de usuario y contraseña de Windows previamente asignados, que también se conocen como credenciales. El explorador Web intentará establecer la conexión con un servidor, mediante las credenciales del usuario. La contraseña de texto simple se codifica en Base64 antes de enviarla a través de la red. Importante La codificación en Base64 no es un cifrado. Si una contraseña codificada en Base64 es interceptada en la red por un husmeador de redes, la contraseña puede ser descodificada y utilizada por personas no autorizadas. Si las credenciales de un usuario son rechazadas, Internet Explorer muestra una ventana de diálogo de autenticación para que el usuario vuelva a escribir sus credenciales. En Internet Explorer se permite al usuario tres intentos de conexión antes de informarle de que no se puede establecer la conexión. Cuando el servidor Web compruebe que el nombre de usuario y la contraseña corresponden a una cuenta de usuario válida de Microsoft Windows, se establecerá una conexión. La autenticación básica tiene la ventaja de que forma parte de la especificación HTTP y es compatible con la mayoría de los exploradores. La desventaja de los exploradores Web que utilizan la autenticación básica es que transmiten las contraseñas sin cifrar. Mediante la supervisión de las comunicaciones en la red, alguien podría fácilmente interceptar y descodificar estas contraseñas mediante herramientas de dominio público. Por tanto, la Autenticación básica no es recomendable a menos que tenga la seguridad de que la conexión entre el usuario y el servidor Web sea segura, como una línea dedicada o una conexión Capa de sockets seguros (SSL) Autenticación de texto implícita La autenticación de texto implícita ofrece la misma funcionalidad que la autenticación básica. Sin embargo, la autenticación de texto implícita supone una mejora en la seguridad debido a la forma en que se envían las credenciales del usuario a través de la red. La autenticación de texto implícita transmite las credenciales a través de la red como un hash MD5, también conocido como mensaje implícito, en el que el nombre de usuario y la contraseña originales no pueden descifrarse del hash. La autenticación de texto implícita está disponible para los directorios del Sistema distribuido de creación y control de versiones Web (WebDAV).
Page 19 of 47 Antes de habilitar la autenticación de texto implícita en el servidor IIS, asegúrese de que se cumplen los requisitos mínimos siguientes. Sólo los administradores de dominio pueden comprobar que se cumplen los requisitos del controlador de dominio (DC). Si tiene dudas, consulte al administrador del dominio si el controlador del dominio cumple con los requisitos siguientes: Todos los clientes que tienen acceso a un recurso protegido con autenticación de texto implícita van a utilizar Internet Explorer 5.0 o posterior. El usuario y el servidor IIS deben ser miembros o tener la confianza del mismo dominio. Los usuarios deben tener una cuenta válida de usuario de Windows almacenada en Active Directory en el controlador de dominio. El controlador del dominio debe ser un equipo con Windows 2000 o posterior. El servidor IIS debe ser un equipo con Windows 2000 o posterior. Autenticación de Windows La autenticación de Windows (anteriormente llamada NTLM, también denominada autenticación de desafío y respuesta de Windows NT) es un método seguro de autenticación, ya que el nombre de usuario y la contraseña se procesan con el método de hash antes de enviarlos a través de la red. Al habilitar la autenticación de Windows integrada, el explorador del usuario demuestra que conoce la contraseña mediante un intercambio criptográfico con el servidor Web, en el que interviene el método de hash. La autenticación de Windows integrada utiliza los métodos de autenticación Kerberos v5 y NTLM. Si los servicios Active Directory están instalados en un controlador de dominio con Windows 2000 o posterior y el explorador del usuario es compatible con el protocolo de autenticación Kerberos v5, se utilizará la autenticación Kerberos v5; de lo contrario, se utilizará la autenticación NTLM. Nota El protocolo de autenticación Kerberos v5 es una característica de la arquitectura de Servicios distribuidos de Windows 2000. Para que la autenticación Kerberos v5 se realice correctamente, tanto el cliente como el servidor deben tener una conexión de confianza a un Centro de distribución de claves (KDC) y ser compatibles con los Servicios de directorio. Traduciendo este definición digamos que el navegador no se valida cada vez, sino que envía los credenciales del dominio/usuario y establece una comunicación donde no vuelve a enviar la contraseña. Es el mejor sistema para una Intranet pero debemos tener un sistema de dominios instalado en nuestra red. Autenticación mediante formularios y Suplantación de ASP.NET Los formularios son una colección de controles basada en la gestión de usuarios de ASP.NET que proporcionan todas las páginas necesarias para la identificación y mantenimiento de usuarios. La suplantación también es otra de las alternativas de ASP.NET y si no vas a desarrollar con.net no necesitarás ninguno de estos dos métodos. Qué autenticación elegir Revisamos los niveles de seguridad
Page 20 of 47 Autenticación anónima: permite que cualquier usuario tenga acceso sin que se le pida su nombre de usuario y contraseña. Autenticación básica: solicita al usuario su nombre de usuario y contraseña, que se envían sin cifrar a través de la red. Autenticación de texto implícita: funciona de manera similar a la autenticación básica, pero difiere de ella en que las contraseñas se envían como un valor de hash. La autenticación de texto implícita sólo está disponible para los dominios con un controlador de dominio de Windows 2000. La autenticación de Windows utiliza la tecnología de hash para identificar al usuario sin enviar realmente la contraseña a través de la red. Autenticación basada en ASP.NET. Si utilizamos los controles y formularios para controlar el acceso. Si utilizamos la primera opción el acceso será anónimo y no tendremos ningún tipo de identificación a lo largo de la sesión del usuario. Es una seguridad propia para un Web de Internet, ya que nadie debe, en principio, identificarse. La segunda opción la rechazamos inmediatamente por no tener ningún tipo de seguridad a la hora de transmitir la contraseña. Y de las demás nos quedamos con la "Seguridad de Windows". Ésta envía los credenciales del usuario en cada petición. Esto funcionalmente hace que desde ASP.NET podamos saber siempre que usuario ha solicitado la página. También es buena opción utilizar las opciones de seguridad de ASP.NET si vamos a desarrollar con este lenguaje, como ves posibilidades hay muchas... Reglas de autorización. Es una mezcla de reglas de cortafuegos con permisos. Si conoces ASP.NET es lo mismo que la asignación de permisos según los "roles". Es otra de las mejoras de esta versión IIS7, y ya van unas cuantas!. Determina quien puede acceder al servidor, por ejemplo podemos dejar acceso a una carpeta o aplicación pero denegar a las demás. Si lo mezclamos con la seguridad basada en formularios, donde se identifiquen los usuarios, tendremos un control muy avanzado de los accesos a nuestro servidor. Iremos añadiendo reglas indicando quienes tienen permiso y de que tipo, lo mismo que en un cortafuegos: CGI. "Common Gateway Interface" es uno de los mas antiguos sistemas para ejecutar aplicaciones web. Fue prácticamente la primera vez que las páginas pudieron consultar bases de de datos y