- •1.1. Справочная служба сети
- •1.2.1. Основной и резервные контроллеры домена
- •1.4. Служба каталогов
- •1.4.1. Объектно-ориентированный подход
- •1.4.2. Дерево каталогов
- •1.5. Служба nds и файловая система
- •1.5.1. Имена и контексты
- •1.2. Доменный подход
- •3.1. Служба dhcp.
- •3.2.1. Регистрация имени.
- •3.2.2. Продление аренды имени.
- •3.2.3. Освобождение и запрос на определение имени.
- •3.3.2. Серверы имен dns
- •3.3.5. Динамическое обновление службы dns
- •Iis 5.0 позволяет разместить несколько Web-узлов на сервере одним из трех способов: присвоив узлам разные номера портов, разные ip-адреса или Разные имена заголовков хостов.
- •4.1.2. Управление iis
- •Iis 5.0 использует распределенную файловую систему (distributed file system, dfs) Windows 2000, которая позволяет объединить файлы, хранящиеся на различных компьютерах, в единое пространство имен.
- •4.1.3. Безопасность
- •4.2.1. Настройка среды Web
- •4.2.2. Службы удаленного доступа Telnet Services
- •4.2.3. Службы Terminal Services
- •5.3. Конфигурации печати
- •5.4. Управление доступом к принтерам
- •5.5. Печать и Active Directory
Iis 5.0 использует распределенную файловую систему (distributed file system, dfs) Windows 2000, которая позволяет объединить файлы, хранящиеся на различных компьютерах, в единое пространство имен.
При помощи DFS системные администраторы могут построить единую иерархическую структуру из файлов, хранящихся на различных файловых серверах, облегчая пользователям доступ и управление файлами, физически расположенными в разных частях сети. Для доступа к файлам пользователям не нужно знать и указывать их физическое расположение.
В зависимости от содержания, объема дискового пространства и скорости передачи данных типичного посетителя сервера сжатие HTTP может обеспечить более быструю передачу страниц между Web-сервером и обозревателем, поддерживающим получение сжатой информации. Это полезно, когда пропускная способность сети ограничена.
Протоколы FTP и FTP Restart
В Windows 2000 Server интегрирован протокол FTP, являющийся промышленным стандартом для публикации информации на Web-сервере.
Windows 2000 Server также поддерживает протокол FTP Restart, входящий в I1S 5.0 и обеспечивающий быструю и удобную загрузку информации из Интернета. При прерывании сеанса передачи данных с узла FTP можно не производить повторную загрузку всего файла, а дозагрузить его с места обрыва соединения с помощью команды REST.
4.1.3. Безопасность
Система безопасности IIS 5.0 использует преимущества стандартов безопасности Интернет, поддерживаемых Windows 2000.
Fortezza (американский правительственный стандарт безопасности). Он удовлетворяет архитектуре безопасности, поддерживая механизм шифрования, обеспечивающий конфиденциальность, целостность и подлинность сообщений, аутентификацию, контроль доступа к сообщениям, компонентам и системам. Эти функции реализуются как при помощи ПО сервера и браузера, так и при помощи аппаратных средств.
Secure Sockets Layer (SSL). Протоколы безопасности SSL широко используются Web-браузерами и серверами для аутентификации, конфиденциальности и целостности сообщений. При помощи функций безопасности SSL можно проверить целостность содержания Web-сервера, реквизиты пользователей и шифровать передаваемые по сети сообщения.
Transport Layer Security (TLS). TLS основан на SSL. Он помогает выполнять безопасную аутентификацию пользователей, а независимым программистам позволяет создавать поддерживающий TLS код, способный обмениваться зашифрованной информацией с другим процессом без ознакомления с кодом, созданным другим программистом. Кроме того, TLS является каркасом для построения новых методов шифрования с открытым ключом и шифрования больших объемов данных. TLS служит и для повышения производительности, уменьшая сетевой трафик и предлагая схему кэширования сессий, позволяющую сократить количество соединений, устанавливаемых «с нуля».
PKCS #7. Этот протокол описывает формат зашифрованных данных, например цифровых подписей или цифровых конвертов.
PKCS #10. Этот протокол описывает формат посылаемых сертификационным центрам (Certificate Authority, CA) запросов на получение сертификата.
Обычная проверка подлинности. Обычная аутентификация — стандартный метод сбора информации об именах пользователей и паролях. Она посылает пароли по сети в формате Base64 Encoded. К ее достоинствам можно отнести то, что она является частью спецификации HTTP 1.0 и поэтому поддерживается большинством браузеров. Однако обычная аутентификация имеет существенный минус — использующие ее Web-браузеры пересылают пароли в незашифрованном виде.
Краткая проверка подлинности. Она обладает теми же возможностями, что и обычная но передает аутентификационные сведения иначе.
Они проходят через одношаговый процесс — хеширование (hashing). Результат этого процесса называется хешем (hash), или выборкой сообщения (message digest). Исходный текст не может быть расшифрован из хеша. Перед хешированием к паролю добавляется дополнительная информация генерируемая сервером, поэтому никто не сможет перехватить хеш пароля и с его помощью выдавать себя за истинного клиента. Краткая аутентификация основана на методологии общего секретного пароля. Она структурирована для использования несколькими прокси-серверами. Краткая аутентификация поддерживается не всеми обозревателями. Если не поддерживающий краткую аутентификацию браузер пошлет запрос на сервер, требующий именно этот способ аутентификации, сервер не будет обрабатывать запрос и сообщит клиенту об ошибке.
Механизмы безопасности
Путем проверки подлинности можно удостовериться в личности каждого клиента, запрашивающего доступ к Web-узлам.
IIS поддерживает для служб HTTP и FTP:
1. анонимную проверку подлинности HTTP и FTP;
2. обычную проверку подлинности HTTP и FTP;
3. краткую проверку подлинности для доменов Windows 2000 и браузеров, поддерживаю щих этот способ аутентификации, реализованный в HTTP I.I;
4. интегрированную проверку подлинности Windows (только HTTP).
Сертификаты
Для завершения аутентификации нужен механизм проверки реквизитов пользователей. Сертификаты — это цифровые идентификационные документы, позволяющие серверам и клиентам устанавливать подлинность друг друга. Сертификаты необходимы серверу и клиентскому браузеру для установления соединения SSL, по которому посылается зашифрованная информация. Сертификат сервера обычно содержит сведения о компании, выпустившей сертификат, а сертификат клиента — информацию, идентифицирующую пользователя и выпустившую сертификат организацию.
Управление доступом
Установив подлинность пользователя можно управлять его доступом к ресурсам сервера. В IIS 5.0 используется два уровня контроля доступа: разрешения Web и разрешения NTFS. Первые распространяются на все клиенты HTTP и определяют доступ к ресурсам сервера. Вторые определяют уровень доступа индивидуальных учетных записей пользователя к папкам/файлам сервера.
Аудит
Заключительный шаг в обеспечении безопасности — регулярное отслеживание использования узла. С помощью аудита безопасности администраторы могут осуществлять всестороннее наблюдение за системой безопасности Web-сервера и действиями пользователей. Аудит заключается в создании политик аудита доступа к файлам и каталогам и событий сервера, а также в просмотре журналов безопасности для обнаружения попыток несанкционированного доступа.