Wer da?

Datenablage auf Webserver

Praxis & Tipps | Praxis

Seite 4: Wer da?

Am besten legen Sie die Authentifizierungsmethode für die "Standardwebsite" fest; die gilt dann für alle später eingerichteten WebDAV-Freigaben. In der Computerverwaltung erreichen Sie den relevanten Dialog mit der rechten Maustaste in den Eigenschaften der Standard-Website im Website-Ordner. Auf der Registerkarte "Verzeichnissicherheit" klicken Sie auf den obersten Knopf "Bearbeiten…".

Der IIS kennt für die Authentifizierung fünf verschiedene Methoden: anonymen Zugriff, Standardauthentifizierung, die "Integrierte Windows-Authentifizierung", Digest-Authentifizierung und Client-Zertifikate. Für eine Internet-weite Freigabe ist die Standardauthentifizierung in Kombination mit SSL die beste Wahl. Sie funktioniert auch problemlos mit alternativen Betriebssystemen. In reinen Windows-Umgebungen ist die integrierte Windows-Authentifizierung vorzuziehen.

Den anonymen Zugriff sollten Sie für den WebDAV-Server abschalten. Wenn diese Option gesetzt ist, verlangt der IIS gar keine Anmeldedaten und greift mit den Rechten des Benutzerkontos IUSR_ auf die Dateien zu. Jeder, der den Server erreichen kann, hätte dann zumindest lesenden Zugriff auf die Dateien – so wie man es von einem normalen Webserver gewohnt ist.

Bei der Standardauthentifizierung fordert der Webserver vom Client Benutzerkennung und Kennwort ein. Diese Login-Methode beherrschen die meisten Clients, da sie bereits in HTTP 1.0 definiert ist. Allerdings geht dabei das Kennwort unverschlüsselt als BASE64-String über die Leitung – dieses Manko lässt sich aber ausgleichen, indem man nur verschlüsselte Kommunikation via SSL zulässt. Dann ist auch das Kennwort nicht mehr lesbar. Weiter unten folgt, wie Sie den Server SSL-fähig machen.

Der in Windows XP eingebaute WebDAV-Redirector und der Finder von MacOS X können sich jedoch nicht an einer WebDAV-Freigabe anmelden, die ausschließlich SSL-Kommunikation zulässt. Unter Windows kann man eine solche Freigabe nur als Webordner öffnen (Menüpunkt "Datei/Öffnen…" im Internet Explorer). Für Mac OS kann das kostenlose Goliath als Finder-Ergänzung dienen.

Ein guter Kompromiss zwischen Sicherheit und Komfort ist die "Integrierte Windows-Authentifizierung", die allerdings nur mit Microsofts Betriebssystemen im lokalen Netz reibungslos funktioniert. Ohne SSL werden bei dieser Methode lediglich die Passwörter verschlüsselt übertragen. Wenn der IIS und der Windows-Client Zugriff auf ein Active Directory haben, kommt dafür Kerberos zum Einsatz. Ansonsten verlangt der IIS die Anmeldedaten als NTLM-Hash. Sind beide Rechner Mitglieder einer Domäne, kann der Client mit der integrierten Authentifizierung die Login-Daten des aktuellen Benutzers an den Server liefern, ohne dass man sie erneut eingeben muss.

Die beiden verbleibenden Anmelde-Techniken sind für kleinere Netze weniger relevant: Die Digest-Authentifizierung funktioniert nur mit Active Directory und bietet gegenüber der NTLM-Methode kaum Vorteile. Schließlich seien noch Client-Zertifikate für SSL erwähnt: Zusätzlich zu einem SSL-Serverzertifikat, das den Server gegenüber dem Client authentifiziert und für die Verschlüsselung notwendig ist, kann man auf den Clients SSL-Zertifikate hinterlegen, mit denen sie sich beim Server ausweisen. Die Konfiguration ist allerdings relativ kompliziert; im IIS Resource Guide finden Sie dazu weitere Informationen.

Authentifizierungsmethoden
Windows WebordnerWindows XP RedirectorLinux KonquerorMac OS X FinderKennwörter verschlüsseltDaten verschlüsseltNotwendige Rechte des Windows-Kontos

Standard-Authentifizierung1--lokal anmelden

Standard-Authentifizierung mit SSL--lokal anmelden

Integrierte Windows-Auth.--2-Netzwerkzugriff

Integrierte Windows-Auth. mit SSL---2Netzwerkzugriff

1 Windows XP SP2 blockiert normalerweise den Zugriff
2 NTLM, mit Active Directory: Kerberos
Anzeige