保护纯HTML网站的技术

时间:2009-05-28 13:53:28

标签: html security active-directory iis-6

我的任务是为某人保护纯HTML网站,我不完全确定如何解决问题。以下是约束条件:

  1. 所有登录都必须链接到我们当前的Active Directory域。
  2. (可选,但需要)解决方案必须将来自内部网的请求列入白名单 - 也就是说,如果有人试图从校园访问该网站,则会立即允许他们进入。
  3. (可选,但需要)解决方案必须将来自我们的中心网站的请求列入白名单,无论他们是否在校园内。所述中心站点使用引用我们的Active Directory域的登录进行保护,因此这实际上是对直通的请求。

    4. 我们的绝大多数用户群都是非技术性的,因此只需很少的登录请求就足够了。

    通常,我对此没有任何问题,但这是一个纯HTML网站,所以我的选择有点受限。我目前的想法:

    1. 使用IIS6的目录安全性来强制执行A​​ctive Directory身份验证。我不能使用IP permit / deny,因为该检查在生命周期中的任何其他内容之前出现,并且很快拒绝拒绝列表中的任何内容。我无法改变这种行为。
    2. 对驻留在我们的中心网站上的aspx文件进行编码,该文件为用户预加载集成的Windows安全凭据,并自动将其验证到HTML网站。然而,就IIS而言,这些是两个不同的网站,这听起来像是最糟糕的做法,并且最坏的情况是模仿跨站点的入侵尝试。

      3. 我不得不承认我被困住了。有没有人曾经处理过这样的问题?

2 个答案:

答案 0 :(得分:1)

假设您使用的是Windows2003 / IIS6并且您的网络服务器属于您的域名,您可以执行以下操作:

  1. 将您的网站配置为使用集成和/或基本身份验证对Active Directory进行身份验证。还禁用匿名访问。您可以通过单击IIS管理器中网站的“目录安全性”选项卡中的“编辑”来找到这些设置。如果您的用户将使用Internet Explorer以外的浏览器,则只需启用Basic。如果您使用Basic,您还应该使用SSL来保护您的用户名和密码。访问级别由您网站的根目录/子目录上的文件/目录上设置的权限决定。这些目录中的任何文件只会提供给经过身份验证的用户。

  2. 要允许您域中的用户在没有提示的情况下登录,您需要将Internet Explorer配置为自动登录到Intranet中的站点。您还需要为IIS中的网站启用集成身份验证。

  3. 我不确定是否符合第3项的要求。如果您的中心网站使用模拟,则可能将您的Windows凭据传递到您域中的其他服务器,但我怀疑不是。

    4. 参考文献:

    “如何在Windows Server 2003中配置IIS网站身份验证” http://support.microsoft.com/kb/324274/

    “Internet Explorer可能会提示您输入密码” http://support.microsoft.com/kb/258063

    “如何在Internet Explorer中使用安全区域” http://support.microsoft.com/kb/174360/EN-US/

答案 1 :(得分:0)

如果pure-html网站在IIS上运行,将其转换为.Net网络应用程序只是为了将其资源包装在您使用更丰富的ASP.Net安全包装器的自定义条件表单登录中,这似乎非常自然。您可以从现在的应用程序中提供纯HTML文件。

对于我能看到的内容维护者而言,这没有任何缺点。

相关问题
最新问题