Iis

IIS + 集成 Windows 身份驗證:Authenticated_Users 的讀取/執行權限是否安全?

  • November 5, 2009

我有一個企業 Web 應用程序,它將通過集成 Windows 身份驗證(IWA)與單點登錄 (SSO) 服務集成。SSO 服務僅提供身份驗證(不提供授權)。此 Web 應用程序將通過自定義授權模組處理授權。我們在 Windows 2003 上執行 IIS 6。

一旦使用者通過 IWA 進行身份驗證,預設情況下 IIS 將在使用者登錄的上下文中執行網頁。所以通常我們有一個 Active Directory 安全組對象,我們為網站目錄分配讀取/執行權限 - 任何使用者對象是此指定安全組的成員可以查看/執行網頁。任何成功通過 AD 身份驗證但不屬於此安全組的 AD 使用者都會收到 HTTP 401(拒絕訪問)。

對於這個項目,雖然我們不希望為指定的安全組維護添加/刪除 AD 使用者對象。我們的想法是為 Authenticated_Users 組分配網站目錄文件的讀取/執行權限。這樣,如果您可以進行身份驗證,預設情況下您將能夠查看/執行頁面請求。

這安全嗎?從我的團隊的角度來看,只要這個 Web 應用程序中的授權模組能正常工作,它就是安全的。

在 IIS 上使用集成 Windows 身份驗證時,是否有其他人這樣做,或者您是否有其他方法來管理授權?

只要您的授權模組像宣傳的那樣工作,您就不應該有任何問題。這是一個經常被忽視的分離(認證和授權)。您只需承擔授權的責任(在應用程序內),但顯然這就是您想要的!就像你說的,Windows 安全組所做的只是提供一種身份驗證機制,它與你的應用程序中的實際權限無關。

引用自:https://serverfault.com/questions/81903