Configure o aplicativo da Web para acesso externo (IIS7), permitindo apenas determinados usuários através do grupo AD. Todos os usuários precisam de acesso interno

Navegue suas respostas
2

Temos um aplicativo da Web em execução no IIS7 (Server 2008 R2). Agora preciso permitir acesso externo com um certificado SSL, para que determinados usuários (por exemplo, o proprietário da empresa) possam usá-lo remotamente sem VPN. Eles querem distribuir o acesso externo apenas para esses usuários específicos no início (pensando: um prompt de credencial do Windows), MAS todos ainda precisarão de acesso interno (HTTP), sem o prompt.

Eu tenho o certificado SSL instalado no servidor e o DNS público configurado. Eu tenho tentado descobrir como trabalhar a autenticação / autorização. Eu estava pensando que eu preciso desabilitar o authn do Anonymous e definir o Windows como authn, então eu continuo voltando para 'URL Authorization' na minha pesquisa para a configuração do grupo; no entanto, quando eu tentei URL authz, (removido permitir tudo, adicionado permitir regra para o grupo especial), ele quebrou o site internamente (403,2 Proibido, acredito que fosse). Eu pensei que talvez a criação de um segundo site no IIS apontando para o mesmo programa funcionasse, mas exatamente a mesma coisa aconteceu (e novamente com um novo pool de aplicativos, apenas por diversão).

Então, eu acho que a minha pergunta é: como você faria isso: permitir acesso externo, limitado a usuários em um grupo específico do AD, enquanto ainda permitir acesso interno sem um prompt de credenciais?

Como separo os requisitos externos de autorização HTTPS e HTTP interno? Vou precisar apenas copiar todo o conteúdo do aplicativo no Windows Explorer para uma nova pasta e criar meu site externo a partir disso? A autenticação do Windows é a opção correta para isso?

Eu me deparei com isso, que se refere à criação de um módulo personalizado. Embora pareça uma solução, não é uma com a qual eu estou familiarizado, e apenas me perguntei se existe uma maneira mais simples de fazê-la funcionar: link

Obrigado!

    
por White Island 29.06.2012 / 20:46

1 resposta

3

Is Windows Authentication the correct option for this?

  • Sim, parece que a Autenticação integrada do Windows é apropriado para suas necessidades.
  • Você não precisará de uma senha para fazer login se estiver configurado corretamente.
  • Essencialmente, o navegador passará as credenciais para o IIS, mas fallback na autenticação de senha como último recurso ao tentar autenticar o usuário.

Isso deve dar a você um bom começo em Noções básicas sobre a autenticação do IIS .

  • Com relação aos problemas anteriores do 403.2 , você provavelmente precisou examinar permissões de arquivo em relação ao usuário autenticado.
  • Dê uma olhada: Autenticação de passagem
  • Lembre-se de que a Autenticação do Windows significa o usuário do Windows o lado do cliente é o usuário autenticado através de para o servidor.

Para limitar o acesso a um grupo específico no AD apenas para o acesso externo:

por 29.06.2012 / 21:00

Tags

Use o BIND para endereços RFC 1918 Se minha placa RAID falhar, qual a probabilidade de corromper o RAID?