Speicher im WWW
Seite 4: Wer da?
Wer da?
Am besten legen Sie die Authentifizierungsmethode für die "Standardwebsite" fest; die gilt dann für alle später eingerichteten WebDAV-Freigaben. In der Computerverwaltung erreichen Sie den relevanten Dialog mit der rechten Maustaste in den Eigenschaften der Standard-Website im Website-Ordner. Auf der Registerkarte "Verzeichnissicherheit" klicken Sie auf den obersten Knopf "Bearbeiten…".
Der IIS kennt für die Authentifizierung fünf verschiedene Methoden: anonymen Zugriff, Standardauthentifizierung, die "Integrierte Windows-Authentifizierung", Digest-Authentifizierung und Client-Zertifikate. Für eine Internet-weite Freigabe ist die Standardauthentifizierung in Kombination mit SSL die beste Wahl. Sie funktioniert auch problemlos mit alternativen Betriebssystemen. In reinen Windows-Umgebungen ist die integrierte Windows-Authentifizierung vorzuziehen.
Den anonymen Zugriff sollten Sie für den WebDAV-Server abschalten. Wenn diese Option gesetzt ist, verlangt der IIS gar keine Anmeldedaten und greift mit den Rechten des Benutzerkontos IUSR_ auf die Dateien zu. Jeder, der den Server erreichen kann, hätte dann zumindest lesenden Zugriff auf die Dateien – so wie man es von einem normalen Webserver gewohnt ist.
Bei der Standardauthentifizierung fordert der Webserver vom Client Benutzerkennung und Kennwort ein. Diese Login-Methode beherrschen die meisten Clients, da sie bereits in HTTP 1.0 definiert ist. Allerdings geht dabei das Kennwort unverschlüsselt als BASE64-String über die Leitung – dieses Manko lässt sich aber ausgleichen, indem man nur verschlüsselte Kommunikation via SSL zulässt. Dann ist auch das Kennwort nicht mehr lesbar. Weiter unten folgt, wie Sie den Server SSL-fähig machen.
Der in Windows XP eingebaute WebDAV-Redirector und der Finder von MacOS X können sich jedoch nicht an einer WebDAV-Freigabe anmelden, die ausschließlich SSL-Kommunikation zulässt. Unter Windows kann man eine solche Freigabe nur als Webordner öffnen (Menüpunkt "Datei/Öffnen…" im Internet Explorer). Für Mac OS kann das kostenlose Goliath als Finder-Ergänzung dienen.
Ein guter Kompromiss zwischen Sicherheit und Komfort ist die "Integrierte Windows-Authentifizierung", die allerdings nur mit Microsofts Betriebssystemen im lokalen Netz reibungslos funktioniert. Ohne SSL werden bei dieser Methode lediglich die Passwörter verschlüsselt übertragen. Wenn der IIS und der Windows-Client Zugriff auf ein Active Directory haben, kommt dafür Kerberos zum Einsatz. Ansonsten verlangt der IIS die Anmeldedaten als NTLM-Hash. Sind beide Rechner Mitglieder einer Domäne, kann der Client mit der integrierten Authentifizierung die Login-Daten des aktuellen Benutzers an den Server liefern, ohne dass man sie erneut eingeben muss.
Die beiden verbleibenden Anmelde-Techniken sind für kleinere Netze weniger relevant: Die Digest-Authentifizierung funktioniert nur mit Active Directory und bietet gegenüber der NTLM-Methode kaum Vorteile. Schließlich seien noch Client-Zertifikate für SSL erwähnt: Zusätzlich zu einem SSL-Serverzertifikat, das den Server gegenüber dem Client authentifiziert und für die Verschlüsselung notwendig ist, kann man auf den Clients SSL-Zertifikate hinterlegen, mit denen sie sich beim Server ausweisen. Die Konfiguration ist allerdings relativ kompliziert; im IIS Resource Guide finden Sie dazu weitere Informationen.
| Windows Webordner | Windows XP Redirector | Linux Konqueror | Mac OS X Finder | Kennwörter verschlüsselt | Daten verschlüsselt | Notwendige Rechte des Windows-Kontos | |
| Standard-Authentifizierung | √ | √ 1 | √ | √ | - | - | lokal anmelden |
| Standard-Authentifizierung mit SSL | √ | - | √ | - | √ | √ | lokal anmelden |
| Integrierte Windows-Auth. | √ | √ | - | - | √ 2 | - | Netzwerkzugriff |
| Integrierte Windows-Auth. mit SSL | √ | - | - | - | √ 2 | √ | Netzwerkzugriff |
| 1 Windows XP SP2 blockiert normalerweise den Zugriff 2 NTLM, mit Active Directory: Kerberos | |||||||
