Kit de recursos para las Extensiones de servidor de Microsoft FrontPage 2000

Seguridad en Windows NT

 ^{2 de 9}     Métodos de autenticación de IIS

Todos los usuarios deben estar autenticados antes de obtener acceso a los recursos de IIS. IIS admite autenticación anónima, autenticación básica, autenticación Desafío/Respuesta de Windows NT y autenticación de acceso implícita.

Autenticación anónima

La autenticación anónima proporciona acceso, mediante una cuenta especial "anónima", a usuarios que no disponen de sus propias cuentas en el equipo host. Cada servicio Internet, como el servicio World Wide Web o el servicio FTP, utiliza una cuenta de Windows NT (un nombre de usuario y una contraseña) para procesar peticiones anóminas. Internet Information Server (IIS) crea la cuenta anónima para servicios Web, IUSR_nombredeequipo, durante su instalación. De manera predeterminada, todas las peticiones del cliente Web usan esta cuenta y los clientes tienen acceso al contenido Web cuando la utilizan. Podrá habilitar al mismo tiempo el acceso de inicio de sesión anónimo y el acceso autenticado.

Cuando IIS recibe una petición anónima, representa la cuenta de inicio de sesión anónima. La petición tendrá éxito si la cuenta anónima dispone de permiso para tener acceso al recurso solicitado; el que la cuenta tenga permiso o no, se determina mediante la ACL de recursos. Si la cuenta anónima no tiene permiso, la petición no tendrá éxito. El servicio WWW  responde a una petición anónima fallida solicitando al usuario que suministre un nombre de usuario y una contraseña de Windows NT válidos.

Autenticación básica

La autenticación básica es un método de autenticación admitido por la mayoría de los servidores Web de Internet. Cuando un servidor utiliza una autenticación básica, el explorador de Web (o el cliente FrontPage) pedirá al usuario un nombre y una contraseña. A continuación, el nombre de usuario y la contraseña se transmiten por HTTP, en texto simple. Mediante este nombre de usuario y esta contraseña, IIS autentica al usuario de Windows NT correspondiente.

En la autenticación básica, el usuario siempre inicia la sesión con derechos locales de inicio de sesión, lo que es similar al inicio de sesión del usuario para una sesión interactiva en la consola del equipo. (Para utilizar la autenticación básica, conceda a cada cuenta de usuario el derecho de usuario a Inicio de sesión local en el servidor IIS.) Existen dos posibles problemas causados por el usuario del inicio de sesión local de la autenticación básica que los administradores deberían tener en cuenta:

• La autenticación básica no tendrá éxito si la cuenta de usuario no dispone de derechos de inicio de sesión local. Incluso aunque parezca que la configuración de FrontPage, IIS y Windows NT es correcta, la falta de derechos de inicio de sesión local, concedidos al usuario en el Administrador de usuarios de Windows NT, evitará que la autenticación básica autentique al usuario.
• Con el inicio de sesión local, si un usuario puede obtener acceso físico al equipo host que ejecuta IIS, tendrá permiso para iniciar una sesión interactiva en la consola.

Otro riesgo de seguridad de la autenticación básica es que los nombres de usuario y las contraseñas se transmiten por la red en un formato que puede descodificarse fácilmente.

Si el sitio Web debe ser compatible con la autorización del cliente FrontPage versión 1.1 (que no es compatible con la autenticación Desafío/Respuesta de Windows NT) o si desea asegurarse de que se puede tener acceso al sitio Web desde todos los tipos de exploradores, deberá tener habilitada la autenticación básica. Además, la autenticación básica funciona por un servidor de seguridad mediante un servidor proxy. Si los usuarios establecen una conexión con el servidor Web de Internet mediante un servidor proxy, deberá utilizar la autenticación básica en vez de la de Desafío/Respuesta de Windows NT.

La autenticación básica es más rápida que la de Desafío/Respuesta de Windows NT. Si utiliza la autenticación básica junto con Secure Sockets Layer (SSL), podrá disponer de una autenticación segura y rápida.

Autenticación Desafío/Respuesta de Windows NT

La autenticación Desafío/Respuesta de Windows NT (también denominada NTLM) es un método de autenticación más seguro que el de autenticación básica. Cuando se autentica un usuario mediante Desafío/Respuesta de Windows NT, inicia una sesión en el equipo del servidor Web como un inicio de sesión en la red. En primer lugar, el explorador de Web o el cliente FrontPage intentan utilizar las credenciales que el usuario suministró al iniciar la sesión en el equipo cliente. Si dichas credenciales se rechazan, la autenticación de Desafío/Respuesta de Windows NT pedirá al usuario un nombre y una contraseña mediante un cuadro de diálogo. Si un usuario ha iniciado la sesión como usuario de dominio en un equipo local, dicho usuario no tendrá que autenticarse de nuevo cuando tenga acceso al equipo remoto de ese dominio.

El nombre de usuario y la contraseña se codifican de manera segura en una interacción de varias transacciones entre el cliente y el servidor Web. Esta interacción es segura frente a los espías de la red que intenten entrar en los sistemas mediante el control del tráfico de la red entre un cliente y un servidor.

Existen ciertas limitaciones del Desafío/Respuesta de Windows NT:

• La autenticación Desafío/Respuesta de Windows NT no puede llevarse a cabo con un servidor de seguridad mediante un servidor proxy. En este escenario, los usuarios deben utilizar la autenticación básica.
• Algunos exploradores de Web (por ejemplo, Netscape Navigator) no admiten la autenticación Desafío/Respuesta de Windows NT.
• La autenticación Desafío/Respuesta de Windows NT no admite la delegación en servidores secundarios. Las credenciales del usuario no pueden pasar a otro equipo. Por ejemplo, cuando una petición llega a IIS, las credenciales de la cuenta de usuario no pueden pasar a Microsoft SQL Server en un equipo secundario.

Puesto que la autenticación Desafío/Respuesta de Windows NT no puede llevarse a cabo mediante un servidor de seguridad, es más útil en las intranet, donde la comunicación tiene lugar dentro del servidor de seguridad de la organización.

Es posible habilitar tanto la autenticación básica como la autenticación Desafío/Respuesta de Windows NT. Si el explorador de Web admite la autenticación Desafío/Respuesta de Windows NT, utilizará ese método de autenticación. Si no, utilizará la autenticación básica. En la actualidad, únicamente Microsoft Internet Explorer 2.0 o versiones posteriores admiten la autenticación Desafío/Respuesta de Windows NT.

Autenticación de acceso implícita

De igual manera que la autenticación básica, la autenticación de acceso implícita se basa en un sencillo método de Desafío/Respuesta. Lanza un desafío mediante un valor de una sola vez (una cadena de datos especificados por el servidor que únicamente pueden generarse cada vez que se comete un error 401). Una respuesta válida contiene una suma de comprobación del nombre de usuario, la contraseña, el valor de una sola vez dado, el método HTTP  y la dirección URL solicitada. De esta forma, la contraseña nunca se envía como texto que pueda descodificarse fácilmente, que es el punto débil más importante de la autenticación básica.

La autenticación de acceso implícita requiere Internet Explorer 5.0 en el equipo cliente.