Forum
Bildirimler
Hepsini Temizle
Windows Server
8
Yazılar
3
Üyeler
0
Likes
474
Görüntüleme
Konu başlatıcı
Windows 2003 üzerine IIS kurmayı düşünüyorum, anonymous kullandırmayacagım çeşitli amaclar icin guvenlikle ilgili oneriye ihtiyacım var bilgi eksikliğim de tabi, guvenligede ilgi duymaya basladım cok iyi ogrenmeliyim Cevaplarsanız cok sevinirim, kısaca NTLM, Kerberos, evet gibi cevaplarda yeterli olcaktır, hocalarıma zaman kaybettirmiyeyim.
IIS in authentication ınını ayarlamak istiyorum SSL kullanmayacagım. Şirket içindeki clientlar Lan IP si ile dışındakiler ise adsl modemden yonlendirmeyle ulasacak, hem domain uyesi hem workgroup calısan clientlar var, şirketler icice oldugu icin, bu yuzden cesitli senaryolar dusundum ve ogrenmek istiyorum
Şunları sormak istiyorum:
1..IIS server ve diger tüm pc ler domain uyesiyse ve IIS deki sadece Integrated Authentication secilirse , Lan dan IIS servera ulasmak isteyen clientlar icin Kerberos ile authenticate edilecek (yanlıssam duzeltiniz lütfen) peki LAN dısından domainle alakası olmayan PC ler webserıma a internet uzerinden ulasmak isterken Internet Explorer kullanırlarsa bunları DC mi yoksa IIS in kendisi local accountlarıyla authenticate etmeye kalkar? Kerberos mu NTLM mi kullanılır internet uzerinden?
2.IIS server ve diger tüm pc ler domain uyesiyse ve IIS deki sadece Basic authentication seciliyse, bir prompt cıkacak, kullanıcı adı sifre sorulacak, burada girilecek kullanıcı adı ve sifre DC de varsa Basic authentication geregi DC den user icin clear text authentication mı alınacak? Aslında bununla sunu da sormak istiyorum, DC de userlar AD icinde Kerberos ve NTLM hash i ile tutulabiliyor, clear text olarak da tutuluyorlar mı?
3.IIS domain uyesiyse sadece Basic veya sadece Integrated Auth. secili oldugu durumlarda webservara ulasmak isteyen kullanıcının kullanıcı adı ve sifresi hem DC de hem de IIS in localinde tanımlıysa , DC denmi authenticate olunur, IIS in localinden mi?Kerberos mu NTLM mi kullanılır?
4.IIS server domainde ise Integrated Authentication kullanılıyorsa,
a. LAN da workgroup calısan clientlar webservera IE ile baglanırken pc lerine logon oldukları kullanıcı ve sifre eger DC de bir usera karsılık geliyorsa o zaman Kerberos ilemi authenticate olurlar, clientlar workgroup oldukları icin DC onları NTLM ilemi authenticate eder, yoksa IIS in kendi içinde local account mu olusturmak gerekir(IIS mi authenticate eder)
b.LAN da workgroup calısan clientlar webservera IE ile baglanırken pc lerine logon oldukları kullanıcı ve sifre eger DC de tanımlı degilse , IIS de local olarak tanımlıysa authentication metodu ne olur?
5.IIS server ve diger tüm pc ler workgroup calısyorsa ve Integrated Authentication secilirse hem LAN icindeki hem LAN dısındaki PC ler icin NTLM kullanılacak ((yanlıssam duzeltiniz lütfen), eger Lan icinde bir domain uyesi pc website a ulasmak isterse domaine logon oldugu kullanıcı adı ve şifre IIS server da local olarak tanımlıysa IIS tarafından NTLM authentication a mı tabi olacaktır.
Gönderildi : 08/07/2008 03:46
Merhaba
1 - domain üyesi bir iis makinede iis üzerinde kimlik doğrulama protokolu olarak integrated authentication seçilmesi halinde domain kullanıcıları için yerel makine kimlik doğrulama seçenekleri ne ise ( ntlm level vb ) onları kullanarak kimlik doğrular. Yani standart durumda kerberos ve ntlm kullanır. Domain içerisinen gelenler için bu arka planda gerçekleşirken domain dışındakilere kullanıcı adı ve şifre sorulur ve verilen kullanıcı adı ve şifre bilgisi hem domain için hemde local için geçerlidir , sonuçta hakan@cozumpark.com dersem cozumpark domainin hakan kullanıcı olarak erişim sağlarım ve yetkim var ise sayfayı görüntülerim.
2 - bu kimlik doğrulama kutucuğunda yazdığınız bilgiye bağlı yani yerel kullanıcı bilgisi verirseniz yerel , domain kullanıcısı bilgisi verirseniz dc üzerinde doğrulanır . basic olduğu için clear text gider.
3 - hangi kullanıcı bilgisi verirseniz o kullanıcı biletini kullanır
sorulara devam etmek istiyorum am siz hep aynı şeyi farklı şekilde sormuşsunuz sanırım basit bir noktayı kaçırıyorsunuz
bir pc üzerinde bir policy vardır ntlm v1 ntlm v2 lm veya kerberos bunlardan hangilerini kullanacağı bellidir . yine dc üzerindede bu belirtilmiştir
iis domain de ise ve iis makinesine erişmek istersem bana bir kullanıcı adı şifre ekranı çıkarır ise
hakan@cozumpark.com yazarsam bu git dc ye sor demek kerberos kullanır
hakan@iismakineismi bu ise sam e sor demektir...
bu ayrımı anlamanız tüm sorularınıza cevap olacaktır.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 08/07/2008 06:35
İyi Günler.Server 2003 kullanıyorum.IIS yükledim.Web sayfası yalınlıyorum.Ancak her türlü sayfa sorunsuz çalışırken ASP ler sitede çalışmıyor.Ziyaretçi defteri kısmına tıkmandığında şifre soruyor.Bu konuda detay açıklama olan bir makaleniz varmı yada burdan yardımcı olabilirmisiniz.Teşekkür ederim
Gönderildi : 03/07/2009 14:57
Merhaba ;
IIS altında asp.net ve Active Server Pages desteği yüklümü ? ki yüklü ise şifre sorması o dosyaların üzerinde bilgisayarındaki anonim kullanıcıların okuma hakkının olmadığına işarettir ( IUSR_makineismi kullanıcısı )
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 03/07/2009 15:16
Önce ilginize teşekkür ederim.asp net ve Active server pages yüklü evet.İzin olarakda read ve write izinleri var.
Gönderildi : 03/07/2009 15:32
site internete açık ise link alabilirmiyim ?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 03/07/2009 17:48
Hakan bey maalesef bizim yerel intranet ağımız var.Orada bu site
Gönderildi : 03/07/2009 18:35
o zaman tam olarak hata kodunu alayım.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 03/07/2009 20:02
