Activation et configuration de l'authentification

Cette rubrique contient une procédure généralisée d'activation de l'authentification, ainsi que des informations détaillées sur la configuration des méthodes d'authentification anonyme, de base, Digest et intégrée de Windows. Elle décrit également les conditions requises pour l'utilisation de chaque méthode, les cas dans lesquels il faut utiliser une configuration spéciale, etc. Si vous n'êtes pas très familiarisé avec ces méthodes d'authentification, il est conseillé de lire des informations plus détaillées avant d'activer et de configurer l'authentification sur votre serveur. Pour plus d'informations sur ces méthodes, consultez À propos de l'authentification.

Activation de l'authentification
Configuration de l'authentification anonyme
Configuration de l'authentification de base
Configuration de l'authentification Digest
Configuration de l'authentification intégrée de Windows

Activation de l'authentification

Vous pouvez activer une ou plusieurs méthodes d'authentification pour n'importe quel site, répertoire virtuel ou fichier Web ou FTP.

Pour activer une méthode d'authentification sur le Web

  1. Créez un compte utilisateur Windows approprié pour la méthode d'authentification. Si besoin, ajoutez le compte à un groupe d'utilisateurs Windows. Pour plus d'informations sur la création de comptes utilisateur Windows, consultez Sécurisation de vos fichiers à l'aide de NTFS.
  2. Configurez des autorisations NTFS pour le répertoire ou le fichier pour lequel vous souhaitez contrôler l'accès. Pour plus d'informations, consultez Définition des autorisations NTFS pour un répertoire ou un fichier.
  3. Dans le composant logiciel enfichable Services Internet (IIS), sélectionnez un site, un répertoire ou un fichier, puis ouvrez ses feuilles de propriétés.
  4. Sélectionnez la feuille de propriétés Sécurité de répertoire ou Sécurité de fichier appropriée. Sous Accès anonyme et contrôle d'authentification, cliquez sur Modifier.
  5. Dans la boîte de dialogue Méthodes d'authentification, sélectionnez une ou plusieurs méthodes appropriées.

Pour activer une méthode d'authentification FTP

  1. Suivez les étapes 1 à 3 ci-dessus.
  2. Sélectionnez la feuille de propriétés Comptes de sécurité. Activez la case à cocher Autoriser les connexions anonymes.

    Remarque   Pour les sites FTP, l'authentification peut être définie uniquement au niveau du site.

  3. Dans les zones de texte Nom d'utilisateur et Mot de passe, entrez le nom d'utilisateur et le mot de passe d'ouverture de session anonyme que vous souhaitez utiliser. Le nom d'utilisateur correspond au nom du compte utilisateur anonyme et il est souvent appelé IUSR_nomordinateur. Si la case à cocher Autoriser la vérification de mot de passe par IIS est activée, vous devez la désactiver pour modifier le mot de passe.
  4. Activez la case à cocher Autoriser la vérification de mot de passe par IIS pour faire correspondre les mots de passe avec les comptes utilisateur Windows.

    Remarque   La synchronisation de mot de passe peut être utilisée uniquement avec les comptes utilisateur anonymes définis sur l'ordinateur local ; elle ne fonctionnera pas avec les comptes anonymes définis sur d'autres ordinateurs du réseau.

  5. Activez la case à cocher N'autoriser que les connexions anonymes pour que les utilisateurs se connectent uniquement en tant qu'utilisateurs anonymes.
  6. Cliquez sur OK.
  7. Définissez des autorisations NTFS appropriées pour le compte anonyme. Pour plus d'informations, consultez Définition des autorisations NTFS pour un répertoire ou un fichier.

Remarque

Important   Lorsque vous tentez de modifier les propriétés de votre site Web ou de votre répertoire virtuel, le serveur Web vous demande les autorisations pour rétablir les propriétés des sous-répertoires et des fichiers individuels stockés sur le site ou dans le répertoire. Si vous décidez de rétablir ces propriétés, les paramètres courants seront remplacés par les nouveaux paramètres. Pour plus d'informations sur la définition des propriétés, consultez la section « Propriétés et héritage de propriétés des sites » dans À propos des sites Web et FTP.

Configuration de l'authentification anonyme

Par défaut, le compte IUSR_nomordinateur est inclus dans le groupe d'utilisateurs Windows Invités. Vous pouvez créer plusieurs comptes anonymes, un pour chaque site, répertoire ou fichier Web ou FTP. En accordant à ces comptes des autorisations d'accès différentes ou en affectant ces comptes à des groupes d'utilisateurs Windows différents, vous pouvez accorder aux utilisateurs un accès anonyme aux différentes zones de votre contenu Web et FTP public.

Le compte anonyme doit disposer du droit d'utilisateur d'ouvrir une session localement. Si le compte ne dispose pas de l'autorisation Ouvrir une session localement, IIS ne sera pas en mesure de satisfaire aux demandes anonymes. Les comptes IUSR_nomordinateur créés sur les contrôleurs de domaine ne disposent pas de ce droit par défaut et doivent être remplacés par Ouvrir une session localement pour prendre en charge les demandes anonymes.

Vous pouvez également modifier les privilèges de sécurité pour le compte IUSR_nomordinateur dans Windows. Toutefois, si le compte utilisateur anonyme ne dispose pas d'une autorisation d'accès à une ressource spécifique, le serveur Web refuse d'établir une connexion anonyme pour cette ressource. Pour plus d'informations, consultez Définition d'autorisations de serveur Web.

Pour modifier le compte utilisé pour l'authentification anonyme

  1. Dans le composant logiciel enfichable Services Internet (IIS), sélectionnez un site, un répertoire ou un fichier, puis ouvrez ses feuilles de propriétés.
  2. Sélectionnez la feuille de propriétés Sécurité de répertoire ou Sécurité de fichier appropriée. Sous Accès anonyme et contrôle d'authentification, cliquez sur Modifier.
  3. Dans la boîte de dialogue Méthodes d'authentification, sous Accès anonyme, cliquez sur Modifier.
  4. Dans la boîte de dialogue Compte utilisateur anonyme, tapez ou recherchez le compte utilisateur Windows valide que vous souhaitez utiliser pour l'accès anonyme.
  5. Désactivez la case à cocher Autoriser la vérification du mot de passe par IIS pour entrer le mot de passe du compte.

Important   Si vous modifiez le compte IUSR_nomordinateur, les modifications affecteront toute demande anonyme satisfaite par un serveur Web. Soyez prudent si vous modifiez ce compte.

Configuration de l'authentification de base

L'authentification de base ne configure pas automatiquement le serveur Web pour l'authentification des utilisateurs. Vous devez créer les comptes utilisateur Windows et définir correctement les autorisations NTFS, comme décrit précédemment.

Pour authentifier correctement les utilisateurs à l'aide de l'authentification de base, les comptes utilisateur Windows utilisés par l'authentification de base doivent disposer de droits d'utilisateur Ouvrir une session localement. Vous devez attribuer ce droit, car l'authentification de base emprunte l'identité d'un utilisateur local (c'est-à-dire un utilisateur connecté physiquement au serveur). Par défaut, les comptes utilisateur sur un contrôleur principal de domaine (PDC, Primary Domain Controller) Windows ne disposent pas de droits d'utilisateur Ouvrir une session localement.

Remarque   Vous pouvez annuler le besoin de disposer de droits Ouvrir une session localement en utilisant ADSI (Active Directory Service Interfaces). Pour plus d'informations, consultez la référence LogonMethod dans le Guide Active Server Pages.

Vous devez sélectionner un domaine d'ouverture de session par défaut. Pour plus d'informations, consultez Définition du domaine de connexion par défaut.

Attention   La méthode Authentification de base achemine les noms d'utilisateur et les mots de passe sur le réseau sous forme décryptée. Un utilisateur malintentionné peut utiliser un outil de surveillance du réseau pour intercepter ces informations. Vous pouvez utiliser les fonctionnalités de cryptage du serveur Web et l'authentification de base pour sécuriser les informations du compte utilisateur envoyées sur le réseau. Pour plus d'informations, consultez À propos du cryptage.

Configuration de l'authentification Digest

Microsoft Internet Explorer version 5.0 est le seul navigateur qui prend actuellement en charge l'authentification Digest.

L'authentification Digest ne fonctionne que sur les domaines dotés d'un contrôleur de domaine Windows 2000. Le contrôleur de domaine doit avoir une copie, au format texte brut, des mots de passe utilisés, car il doit exécuter une opération de hachage et comparer les résultats avec le hachage envoyé par le navigateur. Pour plus d'informations sur le stockage de ces mots de passe et sur d'autres questions, consultez la documentation de Windows 2000 Server.

Important   Puisque le contrôleur de domaine dispose d'une copie en texte brut de tous les mots de passe, cette copie doit être protégée contre toute violation locale ou par réseau. Pour plus d'informations sur la sécurisation d'un serveur, consultez le Kit de ressources techniques de Windows 2000 Server.

Configuration de l'authentification intégrée de Windows

L'authentification intégrée de Windows ne fonctionne pas sur les serveurs proxy ni sur d'autres applications pare-feu (firewall).

Si l'authentification intégrée de Windows échoue à cause d'informations d'identification utilisateur incorrectes ou d'un autre type de problème, le navigateur invite l'utilisateur à entrer son nom d'utilisateur et son mot de passe.

Seul Microsoft Internet Explorer, version 2.0 ou ultérieure, prend en charge l'authentification intégrée de Windows.

© 1997-1999 Microsoft Corporation. Tous droits réservés.