none
Cuentas de Usuario RRS feed

  • Pregunta

  • Hola:

     

    1-Quisiera saber si es posible crear cuentas que no puedan iniciar sesion en los equipos, que solo sirvan para conectarse a las paginas que tengo alojadas en el IIS, para que no tengan ningun otro permiso mas que el de poder entrar a mis paginas.

     

    2-Ademas tengo problemas al crear grupos de seguridad por ejemplo.

    Grupo 1       con   2 usuarios

    luego a una carpeta le digo que el Grupo1 tiene acceso de solo lectura

    pero cuando quiero entrar a la carpeta no me deja, es decir no respeta los permisos de los grupos que yo creo solo los que tienen los grupos que se crearon al cargar el server y los permisos individuales por usuario.

     

    Espero puedan ayudarme.

    viernes, 11 de agosto de 2006 15:43

Respuestas

  •  Sobre lo que respecta a IIS me parece que lo que estas buscando es que miembros de Active Directory o no puedan acceder al contenido de tus paginas. Para esto te va a servir la pestaña de Directory Security que puedes configurar en cada una de las paginas que tienes alojadas. En la parte de "Metodos de Autenticacion" vas a ver que como primera opcion esta "Permitir el Acceso Anonimo" y automaticamente te toma como usuario predeterminado para el acceso a IUSR_SERVER2003... o sea que cada usuario que se intente conectar a la pagina, sin importar si tiene una cuenta local o de dominio, va a tener los permisos que le asignas a este usuario IIS.  Si quieres ser un poco mas restrictivo, vas a la parte inferior de esta pestaña y ves el "Acceso Autentificado", donde tienes varias opciones para configurar. Una de ellas es "Autenticacion Basica", lo unico que necesita para acceder a la pagina es tener una cuenta local (o de dominio tambien) en un equipo Windows 2000 o 2003. Hay que tener cuidado porque la autenticacion se hace enviando la informacion en texto plano.

     Sobre lo segundo te diria que te fijes bien en los permisos que tienen asignado los usuarios que pertenecen al Grupo1, o si es que esos usuarios pertenecen a miembros de otros grupos. Recuerda que por mas que le asignes un permiso de lectura a un usuario, si ademas por otro lado ese mismo usuario tiene un permiso denegado de lectura, lo que prevalece es siempre la negacion. Puedes ver la parte de "Permisos Efectivos" en "Opciones Avanzadas" de la pestaña de seguridad de la carpeta... ahi puedes ingresar el nombre de un usuario o grupo y ver realmente que permisos se estan aplicando en esa carpeta para ese objeto... o sea une todos los permisos que tiene asignado y te dice que es lo que realmente puedes hacer en esa carpeta.

     Saludos, espero que te sirva

    lunes, 14 de agosto de 2006 15:12
  • Crea una base de datos (antes haz un buen diseño).

    En ella tendrás la tabla Usuarios con los campos:
    ID (primary key, indexado) int
    Usuario varchar
    Password (encriptado) varchar
    Otros campos que tu quieras...

    Luego crea un ODBC que ataque a esa base de datos y una serie de páginas:
    1º La página de administración desde la que das de alta y de baja usuarios.
    2º Página de login la cual comprueba si el usuario y el password son correctos (acuérdate de sanitizar formularios). En tal caso crea un valor de sesión

    El resto de páginas utilizarán el ID de sesión como validador.

    Respecto a los certificados echa un vistazo a esta página:

    http://technet2.microsoft.com/WindowsServer/en/library/e1d5a892-10e1-417c-be13-99d7147989a91033.mspx?mfr=true
    viernes, 18 de agosto de 2006 14:22

Todas las respuestas

  •  Sobre lo que respecta a IIS me parece que lo que estas buscando es que miembros de Active Directory o no puedan acceder al contenido de tus paginas. Para esto te va a servir la pestaña de Directory Security que puedes configurar en cada una de las paginas que tienes alojadas. En la parte de "Metodos de Autenticacion" vas a ver que como primera opcion esta "Permitir el Acceso Anonimo" y automaticamente te toma como usuario predeterminado para el acceso a IUSR_SERVER2003... o sea que cada usuario que se intente conectar a la pagina, sin importar si tiene una cuenta local o de dominio, va a tener los permisos que le asignas a este usuario IIS.  Si quieres ser un poco mas restrictivo, vas a la parte inferior de esta pestaña y ves el "Acceso Autentificado", donde tienes varias opciones para configurar. Una de ellas es "Autenticacion Basica", lo unico que necesita para acceder a la pagina es tener una cuenta local (o de dominio tambien) en un equipo Windows 2000 o 2003. Hay que tener cuidado porque la autenticacion se hace enviando la informacion en texto plano.

     Sobre lo segundo te diria que te fijes bien en los permisos que tienen asignado los usuarios que pertenecen al Grupo1, o si es que esos usuarios pertenecen a miembros de otros grupos. Recuerda que por mas que le asignes un permiso de lectura a un usuario, si ademas por otro lado ese mismo usuario tiene un permiso denegado de lectura, lo que prevalece es siempre la negacion. Puedes ver la parte de "Permisos Efectivos" en "Opciones Avanzadas" de la pestaña de seguridad de la carpeta... ahi puedes ingresar el nombre de un usuario o grupo y ver realmente que permisos se estan aplicando en esa carpeta para ese objeto... o sea une todos los permisos que tiene asignado y te dice que es lo que realmente puedes hacer en esa carpeta.

     Saludos, espero que te sirva

    lunes, 14 de agosto de 2006 15:12
  • Muchas gracias por responder, pero lo que necesito es que cada persona que entre amis paginas tenga un user y un pass para cada una de ellas es por eso que la cuenta que mencionas no me funciona, mas bien lo que necesito es denegar a las cuentas que entran a mis paginas los permisos para acceder a equipos o carpetas dentro de mi dominio, pero no se si esto sea posible.

     

    A demas me llamo la atencion lo que mencionas, respecto a que es algo peligroso que se loguen con mi server insertando ellos el nombre de usuario y contraseña. La verdad ya habia oido eso pero no se como es que puede afectar mi seguridad.

    Y hablando de la seguridad, ¿ De que manera funcionan los Certificados? ¿Es cierto que puedo  crear un certificado cliente para que solo el equipo que tenga el certifiado cliente pueda acceder a mi cervidor?

     

    De antemano muchas gracias.

    lunes, 14 de agosto de 2006 20:39
  •  Bueno como debes saber un certificado es una credencial electronica para autenticar comunicaciones en redes abiertas, como Internet o una Intranet. El certificado "enlaza" de manera segura una clave publica a la entidad que posee la clave privada correspondiente. Por ej se pueden cifrar los datos para un destinatario X con su clave publica, y confiar que solo X con su clave privada los puede descrifrar.

     Para el uso de Active Directory un administrador puede configurar una GPO para instalar automaticamente un certificado en un equipo que sea miembro del dominio, el certificado se puede utilizar para autenticar la comunicacion de dos equipos configurados con IPSec, que no es mas que un conjunto de protocolos que comprueba, autentica y cifra los datos en los paquetes IP. Para tu caso, los certficados pueden instalarse en servidores Web para conexiones seguras para los usuarios a nivel de SSL (secure sockets layer).

     Aqui te dejo un link para descargar un doc con toda la info sobre el tema:

    http://download.microsoft.com/download/e/d/1/ed1bd192-a665-49e1-b97d-e283318c4294/SecurityGuide_Chapter06.doc

     Saludos, espero que te sriva

    martes, 15 de agosto de 2006 18:37
  • 1º.- Yo en tu lugar usaría un lenguaje dinámico que atacara a una BBDD para gestionar usuarios y passwords.

    Gestionar la seguridad web mediante usuarios del sistema es útil en intranets no en páginas publicadas en internet.

    2º.- Tu mismo puedes hacerte emisor de certificados, emitir uno, firmártelo y recibirlo. Evidentemente no eres un emisor de certificados de confianza así que uno de los 3 check que aparecen en los navegadores tendrá color rojo :).

    jueves, 17 de agosto de 2006 17:24
  • quieres decir que lo que daria acceso a la pagina que necesito serian los usuariso de la base de datos y tendria que tener configurada la pagina para que se ejecute con la cuenta predeterminada por ejemplo:         

    Nombre       Contraseña            Url (esta columna por que necesito una direccion por usuario)

    User              XXXXXX               mipagina

    osea solo podran tener acceso al vinculo los usuarios que esten cargado en la base?

    En relacion a los certificados...

    yo tengo un certificado servidor pero no se como generar los clientes.

    Como genero los certificados?

    Instalando los certificados cliente en los equipos fuera de mi red solo estos podran tener acceso a mi pag web?

     

    Muchas Gracias por responder.

    jueves, 17 de agosto de 2006 20:51
  • Crea una base de datos (antes haz un buen diseño).

    En ella tendrás la tabla Usuarios con los campos:
    ID (primary key, indexado) int
    Usuario varchar
    Password (encriptado) varchar
    Otros campos que tu quieras...

    Luego crea un ODBC que ataque a esa base de datos y una serie de páginas:
    1º La página de administración desde la que das de alta y de baja usuarios.
    2º Página de login la cual comprueba si el usuario y el password son correctos (acuérdate de sanitizar formularios). En tal caso crea un valor de sesión

    El resto de páginas utilizarán el ID de sesión como validador.

    Respecto a los certificados echa un vistazo a esta página:

    http://technet2.microsoft.com/WindowsServer/en/library/e1d5a892-10e1-417c-be13-99d7147989a91033.mspx?mfr=true
    viernes, 18 de agosto de 2006 14:22