Forum

IIS ve guvenlik hak...
 
Bildirimler
Hepsini Temizle

IIS ve guvenlik hakkında

8 Yazılar
3 Üyeler
0 Reactions
603 Görüntüleme
(@sacit)
Gönderiler: 20
Eminent Member
Konu başlatıcı
 

Windows 2003 üzerine IIS kurmayı düşünüyorum, anonymous kullandırmayacagım çeşitli amaclar icin guvenlikle ilgili oneriye ihtiyacım var bilgi eksikliğim de tabi, guvenligede ilgi duymaya basladım cok iyi ogrenmeliyim Cevaplarsanız cok sevinirim, kısaca NTLM, Kerberos, evet  gibi cevaplarda yeterli olcaktır, hocalarıma zaman kaybettirmiyeyim.


IIS in authentication ınını  ayarlamak istiyorum SSL kullanmayacagım. Şirket içindeki clientlar Lan IP si ile dışındakiler ise adsl modemden yonlendirmeyle ulasacak, hem domain uyesi hem workgroup calısan clientlar var, şirketler icice oldugu icin, bu yuzden cesitli senaryolar dusundum ve ogrenmek istiyorum


Şunları sormak istiyorum:


1..IIS server ve diger tüm pc ler domain uyesiyse ve IIS deki sadece  Integrated Authentication secilirse ,   Lan dan IIS servera ulasmak isteyen clientlar icin Kerberos ile authenticate edilecek (yanlıssam duzeltiniz lütfen) peki LAN dısından domainle alakası olmayan PC ler webserıma a internet uzerinden ulasmak isterken Internet Explorer kullanırlarsa bunları DC mi yoksa  IIS in kendisi local accountlarıyla authenticate etmeye kalkar? Kerberos mu NTLM mi kullanılır internet uzerinden?


2.IIS server ve diger tüm pc ler domain uyesiyse ve IIS deki sadece Basic authentication seciliyse, bir prompt cıkacak, kullanıcı adı sifre sorulacak, burada girilecek kullanıcı adı ve sifre  DC de varsa Basic authentication geregi DC den user icin clear text authentication mı alınacak? Aslında bununla sunu da sormak istiyorum, DC de userlar AD icinde Kerberos ve NTLM hash i ile tutulabiliyor, clear text olarak da tutuluyorlar mı?


3.IIS domain uyesiyse sadece Basic veya sadece Integrated Auth. secili oldugu durumlarda webservara ulasmak isteyen kullanıcının kullanıcı adı ve sifresi hem DC de hem de IIS in localinde tanımlıysa , DC denmi authenticate olunur, IIS in localinden mi?Kerberos mu NTLM mi kullanılır?


4.IIS server domainde ise Integrated Authentication kullanılıyorsa,


  a. LAN da workgroup calısan clientlar webservera IE ile baglanırken pc lerine logon oldukları kullanıcı ve sifre eger DC de bir usera karsılık  geliyorsa o zaman Kerberos ilemi authenticate olurlar,  clientlar workgroup oldukları icin DC onları NTLM ilemi authenticate eder, yoksa IIS in kendi içinde local account mu olusturmak gerekir(IIS mi authenticate eder)


  b.LAN da workgroup calısan clientlar webservera IE ile baglanırken pc lerine logon oldukları kullanıcı ve sifre eger DC de tanımlı degilse , IIS de local olarak tanımlıysa authentication metodu ne olur?


 5.IIS server ve  diger tüm pc ler workgroup calısyorsa ve Integrated Authentication secilirse  hem LAN icindeki hem LAN dısındaki PC ler icin NTLM kullanılacak ((yanlıssam duzeltiniz lütfen), eger Lan icinde bir domain uyesi pc website a ulasmak isterse domaine logon oldugu kullanıcı adı ve şifre IIS server da local olarak tanımlıysa IIS tarafından NTLM authentication a mı tabi olacaktır.

 
Gönderildi : 08/07/2008 03:46

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba

1 - domain üyesi bir iis makinede iis üzerinde kimlik doğrulama protokolu olarak integrated authentication seçilmesi halinde domain kullanıcıları için yerel makine kimlik doğrulama seçenekleri ne ise ( ntlm level vb ) onları kullanarak kimlik doğrular. Yani standart durumda kerberos ve ntlm kullanır. Domain içerisinen gelenler için bu arka planda gerçekleşirken domain dışındakilere kullanıcı adı ve şifre sorulur ve verilen kullanıcı adı ve şifre bilgisi hem domain için hemde local için geçerlidir , sonuçta hakan@cozumpark.com dersem cozumpark domainin hakan kullanıcı olarak erişim sağlarım ve yetkim var ise sayfayı görüntülerim.

2 - bu kimlik doğrulama kutucuğunda yazdığınız bilgiye bağlı  yani yerel kullanıcı bilgisi verirseniz yerel , domain kullanıcısı bilgisi verirseniz dc üzerinde doğrulanır  . basic olduğu için clear text gider.

3 - hangi kullanıcı bilgisi verirseniz o kullanıcı biletini kullanır

 

sorulara devam etmek istiyorum am siz hep aynı şeyi farklı şekilde sormuşsunuz sanırım basit bir noktayı kaçırıyorsunuz

 

bir pc üzerinde bir policy vardır ntlm v1 ntlm v2 lm veya kerberos bunlardan hangilerini kullanacağı bellidir . yine dc üzerindede bu belirtilmiştir

iis domain de ise ve iis makinesine erişmek istersem bana bir kullanıcı adı şifre ekranı çıkarır ise

hakan@cozumpark.com yazarsam bu git dc ye sor demek kerberos kullanır

hakan@iismakineismi  bu ise sam e sor demektir...

 

bu ayrımı anlamanız tüm sorularınıza cevap olacaktır.
 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/07/2008 06:35

(@AbdullahBiLiCi)
Gönderiler: 14
Eminent Member
 

İyi Günler.Server 2003 kullanıyorum.IIS yükledim.Web sayfası yalınlıyorum.Ancak her türlü sayfa sorunsuz çalışırken ASP ler sitede çalışmıyor.Ziyaretçi defteri kısmına tıkmandığında şifre soruyor.Bu konuda detay açıklama olan bir makaleniz varmı yada burdan yardımcı olabilirmisiniz.Teşekkür ederim

 
Gönderildi : 03/07/2009 14:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba ;

IIS altında asp.net ve Active Server Pages desteği yüklümü ? ki yüklü ise şifre sorması o dosyaların üzerinde bilgisayarındaki anonim kullanıcıların okuma hakkının olmadığına işarettir ( IUSR_makineismi kullanıcısı )

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/07/2009 15:16

(@AbdullahBiLiCi)
Gönderiler: 14
Eminent Member
 

Önce ilginize teşekkür ederim.asp net ve Active server pages yüklü evet.İzin olarakda read ve write izinleri var.

 
Gönderildi : 03/07/2009 15:32

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

site internete açık ise link alabilirmiyim ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/07/2009 17:48

(@AbdullahBiLiCi)
Gönderiler: 14
Eminent Member
 

Hakan bey maalesef bizim yerel intranet ağımız var.Orada bu site

 
Gönderildi : 03/07/2009 18:35

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

o zaman tam olarak hata kodunu alayım.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 03/07/2009 20:02

Paylaş: