Condividi tramite

Windows Authentication <windowsAuthentication>

  • Articolo

Panoramica

L'elemento <windowsAuthentication> definisce le impostazioni di configurazione per il modulo autenticazione di Windows Internet Information Services (IIS) 7. È possibile usare autenticazione di Windows quando il server IIS 7 viene eseguito in una rete aziendale che usa identità di dominio del servizio Microsoft Active Directory o altri account Di Windows per identificare gli utenti. Per questo motivo, è possibile usare autenticazione di Windows indipendentemente dal fatto che il server sia membro di un dominio di Active Directory.

autenticazione di Windows (in precedenza denominata NTLM e nota anche come autenticazione windows NT Challenge/Response) è una forma sicura di autenticazione perché il nome utente e la password vengono sottoposti a hash prima di essere inviati attraverso la rete. Quando si abilita autenticazione di Windows, il browser client invia una versione con hash forte della password in uno scambio di crittografia con il server Web.

autenticazione di Windows supporta due protocolli di autenticazione, Kerberos e NTLM, definiti nell'elemento <providers> . Quando si installa e si abilita autenticazione di Windows in IIS 7, il protocollo predefinito è Kerberos. L'elemento <windowsAuthentication> può anche contenere un attributo useKernelMode che configura se usare la funzionalità di autenticazione in modalità kernel nuova a Windows Server 2008.

autenticazione di Windows è più adatto per un ambiente Intranet per i motivi seguenti:

  • I computer client e i server Web si trovano nello stesso dominio.
  • Gli amministratori possono assicurarsi che ogni browser client sia Internet Explorer 2.0 o versione successiva.
  • Le connessioni proxy HTTP, che non sono supportate da NTLM, non sono necessarie.
  • Kerberos versione 5 richiede una connessione ad Active Directory, che non è fattibile in un ambiente Internet.

Novità di IIS 7.5

L'elemento <extendedProtection> è stato introdotto in IIS 7.5, che consente di configurare le impostazioni per le nuove funzionalità di protezione estesa integrate in autenticazione di Windows.

Compatibilità

Versione Note
IIS 10.0 L'elemento <windowsAuthentication> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <windowsAuthentication> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <windowsAuthentication> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <extendedProtection> è stato aggiunto in IIS 7.5.
IIS 7.0 L'elemento <windowsAuthentication> è stato introdotto in IIS 7.0.
IIS 6.0 L'elemento <windowsAuthentication> sostituisce parti delle proprietà della metabase iis 6.0 AuthType e AuthFlags .

Installazione

L'installazione predefinita di IIS 7 e versioni successive non include il servizio ruolo autenticazione di Windows. Per usare autenticazione di Windows in IIS, è necessario installare il servizio ruolo, disabilitare l'autenticazione anonima per il sito Web o l'applicazione e quindi abilitare autenticazione di Windows per il sito o l'applicazione.

Nota

Dopo aver installato il servizio ruolo, IIS 7 esegue il commit delle impostazioni di configurazione seguenti nel file di ApplicationHost.config.

<windowsAuthentication enabled="false" />

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.
  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
  4. Nella pagina Ruoli server espandere Server Web (IIS), server Web, serverWeb, sicurezzae quindi selezionare Autenticazione di Windows. Fare clic su Avanti.
    Screenshot della pagina Ruoli server con l'opzione Autenticazione di Windows evidenziata. .
  5. Nella pagina Selezione funzionalità fare clic su Avanti.
  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Espandere Internet Information Services, servizi Web a livello globale, sicurezza, quindi selezionare Autenticazione di Windows.
    Screenshot delle cartelle contenute della cartella Internet Information Services, con la cartella Autenticazione di Windows evidenziata.
  4. Fare clic su OK.
  5. Fare clic su Close.

Windows Server 2008 o Windows Server 2008 R2

  1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.
  2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).
  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.
  4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo selezionare Autenticazione di Windows e quindi fare clic su Avanti.
    Screenshot della pagina Seleziona servizi ruolo con l'opzione Autenticazione di Windows evidenziata.
  5. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  6. Nella pagina Risultati fare clic su Chiudi.

Windows Vista o Windows 7

  1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Espandere Internet Information Services, quindi Servizi Web a livello mondiale, quindi Sicurezza.
  4. Selezionare Autenticazione di Windows e quindi fare clic su OK.
    Screenshot della cartella Espandibile internet Information Services con la cartella Autenticazione di Windows evidenziata.

Procedure

Come abilitare autenticazione di Windows per un sito Web, un'applicazione Web o un servizio Web

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi il sito, l'applicazione o il servizio Web per cui si desidera abilitare autenticazione di Windows.

  3. Scorrere fino alla sezione Sicurezza nel riquadro Home e quindi fare doppio clic su Autenticazione.

  4. Nel riquadro Autenticazione selezionare Autenticazione di Windows e quindi fare clic su Abilita nel riquadro Azioni .
    Screenshot del riquadro Autenticazione che contiene i campi Nome e Stato.

Come abilitare la protezione estesa per autenticazione di Windows

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi il sito, l'applicazione o il servizio Web per cui si vuole abilitare la protezione estesa per autenticazione di Windows.

  3. Scorrere fino alla sezione Sicurezza nel riquadro Home e quindi fare doppio clic su Autenticazione.

  4. Nel riquadro Autenticazione selezionare Autenticazione di Windows.

  5. Fare clic su Abilita nel riquadro Azioni .
    Screenshot del riquadro Autenticazione e del relativo campo Raggruppa per.

  6. Fare clic su Impostazioni avanzate nel riquadro Azioni .

  7. Quando viene visualizzata la finestra di dialogo Impostazioni avanzate , selezionare una delle opzioni seguenti nel menu a discesa Protezione estesa :

    • Selezionare Accetta se si vuole abilitare la protezione estesa fornendo supporto a livello inferiore per i client che non supportano la protezione estesa.
    • Selezionare Obbligatorio se si vuole abilitare la protezione estesa senza fornire supporto a livello inferiore.
      Screenshot della finestra di dialogo Impostazioni avanzate con l'opzione Accetta campo Protezione estesa evidenziata.

  8. Fare clic su OK per chiudere la finestra di dialogo Impostazioni avanzate .

Configurazione

L'elemento <windowsAuthentication> è configurabile a livello di directory del sito, dell'applicazione o della directory virtuale nel file di ApplicationHost.config.

Attributi

Attributo Descrizione
authPersistNonNTLM Attributo Boolean facoltativo.

Specifica se IIS riutenta automaticamente ogni richiesta non NTLM ,ad esempio Kerberos, anche quelle nella stessa connessione. False abilita più autenticazioni per le stesse connessioni.

Nota: Un'impostazione di true indica che il client verrà autenticato una sola volta nella stessa connessione. IIS memorizza nella cache un token o un ticket nel server per una sessione TCP che rimane stabilita.

Il valore predefinito è false.
authPersistSingleRequest Attributo Boolean facoltativo.

L'impostazione di questo flag su true specifica che l'autenticazione persiste solo per una singola richiesta in una connessione. IIS reimposta l'autenticazione alla fine di ogni richiesta e forza la riutenticazione nella richiesta successiva della sessione.

Il valore predefinito è false.
enabled Attributo booleano obbligatorio.

Specifica se autenticazione di Windows è abilitato.

Il valore predefinito è false.
useKernelMode Attributo Boolean facoltativo.

Specifica se autenticazione di Windows viene eseguito in modalità kernel. True specifica che autenticazione di Windows usa la modalità kernel.

L'autenticazione in modalità kernel può migliorare le prestazioni di autenticazione e impedire problemi di autenticazione con pool di applicazioni configurati per l'uso di un'identità personalizzata.

Si consiglia di non disabilitare questa impostazione se si usa l'autenticazione Kerberos e nel pool di applicazioni è inclusa un'identità personalizzata.

Il valore predefinito è true.

Elementi figlio

Elemento Descrizione
extendedProtection Elemento facoltativo.

Specifica le opzioni di protezione estese per autenticazione di Windows.

Nota: Questo elemento è stato aggiunto in IIS 7.5.
providers Elemento facoltativo.

Specifica i provider di supporto della sicurezza usati per autenticazione di Windows.

Esempio di configurazione

L'elemento predefinito <windowsAuthentication> seguente è configurato nel file di ApplicationHost.config radice in IIS 7.0 e disabilita autenticazione di Windows per impostazione predefinita. Definisce anche i due provider di autenticazione di Windows per IIS 7.0.

<windowsAuthentication enabled="false">
   <providers>
      <add value="Negotiate" />
      <add value="NTLM" />
   </providers>
</windowsAuthentication>

L'esempio seguente abilita autenticazione di Windows e disabilita l'autenticazione anonima per un sito Web denominato Contoso.

<location path="Contoso">
   <system.webServer>
      <security>
         <authentication>
            <anonymousAuthentication enabled="false" />
            <windowsAuthentication enabled="true" />
         </authentication>
      </security>
   </system.webServer>
</location>

Codice di esempio

Gli esempi seguenti disabilitano l'autenticazione anonima per un sito denominato Contoso, quindi abilitare autenticazione di Windows per il sito.

AppCmd.exe

appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/anonymousAuthentication /enabled:"False" /commit:apphost

appcmd.exe set config "Contoso" -section:system.webServer/security/authentication/windowsAuthentication /enabled:"True" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample {

   private static void Main() {

      using(ServerManager serverManager = new ServerManager()) { 
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection anonymousAuthenticationSection = config.GetSection("system.webServer/security/authentication/anonymousAuthentication", "Contoso");
         anonymousAuthenticationSection["enabled"] = false;

         ConfigurationSection windowsAuthenticationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Contoso");
         windowsAuthenticationSection["enabled"] = true;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim anonymousAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/anonymousAuthentication", "Contoso")
      anonymousAuthenticationSection("enabled") = False

      Dim windowsAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/windowsAuthentication", "Contoso")
      windowsAuthenticationSection("enabled") = True

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var anonymousAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/anonymousAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
anonymousAuthenticationSection.Properties.Item("enabled").Value = false;

var windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso");
windowsAuthenticationSection.Properties.Item("enabled").Value = true;

adminManager.CommitChanges();

VBScript

Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set anonymousAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/anonymousAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
anonymousAuthenticationSection.Properties.Item("enabled").Value = False

Set windowsAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/windowsAuthentication", "MACHINE/WEBROOT/APPHOST/Contoso")
windowsAuthenticationSection.Properties.Item("enabled").Value = True

adminManager.CommitChanges()