IIS 6 répertoire virtuel situé sur un autre ordinateur

Le
Bruno Ferrari
Bonjour,

Voila, mon problème j'aimerai créer un répertoire virtuel situé sur un autre
ordinateur. Pour cela, à l'aide du "Gestionnaire des services internet" et de
son "Assistant de création de répertoire virtuel" je créé un répertoire
virtuel en précisant l'alias (disons myFolder), le chemin UNC de mon
répertoire (disons \MyFileServerMyFolder$) (c'est bien un partage caché) et
lorsqu'il s'agit de spécifier les "Informations d'Identification de Sécurité"
benoîtement je me dis je laisse la case cochée toute en bas parce que ce que
je veux c'est que lorsque j'accèderai à la page http://myIISServer/myFolder
IIS me demandera de m'identifier ce que je ferai. C'est bien ce qui se passe
sauf que j'obtiens toujours la page "Vous n'êtes pas autorisé à afficher
cette page", Erreur 401.3, Problème d'ACL sur la ressource demandée. Or les
accréditations que je rentre depuis Internet Explorer (i.e. le compte (sous
la forme \MyDomainmyself) et le mot de passe correct de ce compte).
Si maintenant, insatisfait mais moins benoit, lorsque je recréé ce
répertoire virtuel mais cette fois en décochant la petite case et en
spécifiant le compte et le mot de passe, lorsque j'accède à
http://MyIISServer/myFolder depuis I.E., IIS me demande mes accréditations,
je les lui donne et cette fois ça marche. Mais je ne suis pas content parce
que ce que je désire, c'est de ne pas avoir à fournir ces accréditations
lorsque je créé le répertoire virtuel. Pourquoi ? Parce que j'en ai 600 à
créé et que je ne connais pas les mots de passe de tout le monde Et que
je ne sais pas ce qui se passe quand l'utilisateur lambda change son mot de
passe. Il va sans dire que les connections anonymes sont interdites sur
myFolder.
Qui peut m'aider ?

Merci,

Bruno Ferrari
Bruno.Ferrari@ensieg.inpg.fr
Vos réponses
Trier par : date / pertinence
Patrice Manac'h
Le #11282671
Bonjour,

De mémoire, le compte que vous fournissez lorsque vous créer le répertoire
virtuel est utilisé par IIS pour accéder au répertoire distant (par défaut,
IIS tourne sous un compte local sans droits réseaux). Ensuite, vous pouvez
via la sécurité IIS préciser que les utilisateurs doivent être authentifiés.
Mais l'accès se fera toujours sous le premier compte précisé en réalité.

Pour pouvoir ne pas préciser de compte et avoir l'accès sous le compte réel
de l'utilisateur, il doit falloir activer la délégation Kerberos sur le
serveur Web :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod19.asp. A
tester en tout cas...

Cordialement,

P. Manac'h
MCS France

"Bruno Ferrari" message de news:
Bonjour,

Voila, mon problème j'aimerai créer un répertoire virtuel situé sur un
autre
ordinateur. Pour cela, à l'aide du "Gestionnaire des services internet" et
de
son "Assistant de création de répertoire virtuel" je créé un répertoire
virtuel en précisant l'alias (disons myFolder), le chemin UNC de mon
répertoire (disons \MyFileServerMyFolder$) (c'est bien un partage caché)
et
lorsqu'il s'agit de spécifier les "Informations d'Identification de
Sécurité"
benoîtement je me dis je laisse la case cochée toute en bas parce que ce
que
je veux c'est que lorsque j'accèderai à la page
http://myIISServer/myFolder
IIS me demandera de m'identifier ce que je ferai. C'est bien ce qui se
passe
sauf que j'obtiens toujours la page "Vous n'êtes pas autorisé à afficher
cette page", Erreur 401.3, Problème d'ACL sur la ressource demandée. Or
les
accréditations que je rentre depuis Internet Explorer (i.e. le compte
(sous
la forme \MyDomainmyself) et le mot de passe correct de ce compte).
Si maintenant, insatisfait mais moins benoit, lorsque je recréé ce
répertoire virtuel mais cette fois en décochant la petite case et en
spécifiant le compte et le mot de passe, lorsque j'accède à
http://MyIISServer/myFolder depuis I.E., IIS me demande mes
accréditations,
je les lui donne et cette fois ça marche. Mais je ne suis pas content
parce
que ce que je désire, c'est de ne pas avoir à fournir ces accréditations
lorsque je créé le répertoire virtuel. Pourquoi ? Parce que j'en ai 600 à
créé... et que je ne connais pas les mots de passe de tout le monde... Et
que
je ne sais pas ce qui se passe quand l'utilisateur lambda change son mot
de
passe. Il va sans dire que les connections anonymes sont interdites sur
myFolder.
Qui peut m'aider ?

Merci,

Bruno Ferrari



Bruno Ferrari
Le #11282651
Bonjour,

Merci pour tes conseils. L'URL que tu m'as indiqué m'a renvoyé sur celle-ci
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod03.asp
qui explique de manière très claire les principes de l'authentification et
des autorisations dans Windows 2000 (et donc 2003). Pour "résoudre" mon
problème qui consiste à donner l'accès à un utilisateur qui s'authentifie à
ses données (i.e. répertoires et fichiers) à travers le web (en fait WebDAV)
un peu comme un FTP, j'ai :
1) sur le répertoire (en dur) de mon serveur de fichiers (myFileServer)
D:PeopleMyFolder j'ai fixé les ACL de manière à ce que seul l'utilisateur
que j'appellerai MyDomainmyself ait la permission "Modifier" sur ce
répertoire, ses sous-répertoires et sous-fichiers.
2) au niveau du partage \myFileServerMyFolder j'ai fixé les permissions de
manière à ce que seul myDomainmyself ait la permission "Modifier" sur ce
partage
3) sur mon serveur IIS (myIISServer) j'ai créé un répertoire virtuel
MyFolder qui "pointe" sur le partage "\myFileServermyFolder".
Pour ce répertoire virtuel j'ai :
a) fixé les "permissions IIS" à Lecture, Ecriture, Exploration du répertoire
b) Au niveau de la "Connexion en tant que" j'ai juste coché la case :
"Toujours utiliser les informations d'identification de l'utilisateur
authentifié lors de la validation de l'accès au répertoire réseau."
c) Au niveau des "Méthodes d'authentification" j'ai :
- décoché la case "Activer la connexion anonyme"
- coché uniquement la case "Authentification de base (mot de passe envoyé en
clair)"

Et ça marche. Bien sûr je n'aime pas le "(mot de passe envoyé en clair)"
j'espère que https me protégera...

Je vais regarder Kerberos même si d'après ce que j'ai lu ça ne me semble pas
trop approprié à mon cas.

Questions :
1) Est-ce que ce que je fais ci-dessus est la bonne manière de faire ?
2) Et est-ce que https fera en sorte que "(mot de passe envoyé en clair)" ne
soit pas réellement un problème de sécurité pour cette "méthode" ?

Bruno Ferrari

"Patrice Manac'h" wrote:

Bonjour,

De mémoire, le compte que vous fournissez lorsque vous créer le répertoire
virtuel est utilisé par IIS pour accéder au répertoire distant (par défaut,
IIS tourne sous un compte local sans droits réseaux). Ensuite, vous pouvez
via la sécurité IIS préciser que les utilisateurs doivent être authentifiés.
Mais l'accès se fera toujours sous le premier compte précisé en réalité.

Pour pouvoir ne pas préciser de compte et avoir l'accès sous le compte réel
de l'utilisateur, il doit falloir activer la délégation Kerberos sur le
serveur Web :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod19.asp. A
tester en tout cas...

Cordialement,

P. Manac'h
MCS France

"Bruno Ferrari" message de news:
> Bonjour,
>
> Voila, mon problème j'aimerai créer un répertoire virtuel situé sur un
> autre
> ordinateur. Pour cela, à l'aide du "Gestionnaire des services internet" et
> de
> son "Assistant de création de répertoire virtuel" je créé un répertoire
> virtuel en précisant l'alias (disons myFolder), le chemin UNC de mon
> répertoire (disons \MyFileServerMyFolder$) (c'est bien un partage caché)
> et
> lorsqu'il s'agit de spécifier les "Informations d'Identification de
> Sécurité"
> benoîtement je me dis je laisse la case cochée toute en bas parce que ce
> que
> je veux c'est que lorsque j'accèderai à la page
> http://myIISServer/myFolder
> IIS me demandera de m'identifier ce que je ferai. C'est bien ce qui se
> passe
> sauf que j'obtiens toujours la page "Vous n'êtes pas autorisé à afficher
> cette page", Erreur 401.3, Problème d'ACL sur la ressource demandée. Or
> les
> accréditations que je rentre depuis Internet Explorer (i.e. le compte
> (sous
> la forme \MyDomainmyself) et le mot de passe correct de ce compte).
> Si maintenant, insatisfait mais moins benoit, lorsque je recréé ce
> répertoire virtuel mais cette fois en décochant la petite case et en
> spécifiant le compte et le mot de passe, lorsque j'accède à
> http://MyIISServer/myFolder depuis I.E., IIS me demande mes
> accréditations,
> je les lui donne et cette fois ça marche. Mais je ne suis pas content
> parce
> que ce que je désire, c'est de ne pas avoir à fournir ces accréditations
> lorsque je créé le répertoire virtuel. Pourquoi ? Parce que j'en ai 600 à
> créé... et que je ne connais pas les mots de passe de tout le monde... Et
> que
> je ne sais pas ce qui se passe quand l'utilisateur lambda change son mot
> de
> passe. Il va sans dire que les connections anonymes sont interdites sur
> myFolder.
> Qui peut m'aider ?
>
> Merci,
>
> Bruno Ferrari
>





Patrice Manac'h
Le #11282631
Bonjour,

de prime abord, cela me semble correct. Et oui, le https protège le mot de
passe.

Pour se passer du mot de passe, si les postes clients sont dans le même
domaine que le serveur et tournent sous un OS type Windows 2000 ou XP, vous
pouvez tester l'utilisation de l'authentification Windows Integrated à la
place d'authentification en clair. Cela évitera la fenêtre de login.

Cordialement,

P. Manac'h
MCS France


"Bruno Ferrari" message de news:
Bonjour,

Merci pour tes conseils. L'URL que tu m'as indiqué m'a renvoyé sur
celle-ci :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod03.asp
qui explique de manière très claire les principes de l'authentification et
des autorisations dans Windows 2000 (et donc 2003). Pour "résoudre" mon
problème qui consiste à donner l'accès à un utilisateur qui s'authentifie
à
ses données (i.e. répertoires et fichiers) à travers le web (en fait
WebDAV)
un peu comme un FTP, j'ai :
1) sur le répertoire (en dur) de mon serveur de fichiers (myFileServer)
D:PeopleMyFolder j'ai fixé les ACL de manière à ce que seul
l'utilisateur
que j'appellerai MyDomainmyself ait la permission "Modifier" sur ce
répertoire, ses sous-répertoires et sous-fichiers.
2) au niveau du partage \myFileServerMyFolder j'ai fixé les permissions
de
manière à ce que seul myDomainmyself ait la permission "Modifier" sur ce
partage
3) sur mon serveur IIS (myIISServer) j'ai créé un répertoire virtuel
MyFolder qui "pointe" sur le partage "\myFileServermyFolder".
Pour ce répertoire virtuel j'ai :
a) fixé les "permissions IIS" à Lecture, Ecriture, Exploration du
répertoire
b) Au niveau de la "Connexion en tant que" j'ai juste coché la case :
"Toujours utiliser les informations d'identification de l'utilisateur
authentifié lors de la validation de l'accès au répertoire réseau."
c) Au niveau des "Méthodes d'authentification" j'ai :
- décoché la case "Activer la connexion anonyme"
- coché uniquement la case "Authentification de base (mot de passe envoyé
en
clair)"

Et ça marche. Bien sûr je n'aime pas le "(mot de passe envoyé en clair)"
j'espère que https me protégera...

Je vais regarder Kerberos même si d'après ce que j'ai lu ça ne me semble
pas
trop approprié à mon cas.

Questions :
1) Est-ce que ce que je fais ci-dessus est la bonne manière de faire ?
2) Et est-ce que https fera en sorte que "(mot de passe envoyé en clair)"
ne
soit pas réellement un problème de sécurité pour cette "méthode" ?

Bruno Ferrari

"Patrice Manac'h" wrote:

Bonjour,

De mémoire, le compte que vous fournissez lorsque vous créer le
répertoire
virtuel est utilisé par IIS pour accéder au répertoire distant (par
défaut,
IIS tourne sous un compte local sans droits réseaux). Ensuite, vous
pouvez
via la sécurité IIS préciser que les utilisateurs doivent être
authentifiés.
Mais l'accès se fera toujours sous le premier compte précisé en réalité.

Pour pouvoir ne pas préciser de compte et avoir l'accès sous le compte
réel
de l'utilisateur, il doit falloir activer la délégation Kerberos sur le
serveur Web :
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod19.asp. A
tester en tout cas...

Cordialement,

P. Manac'h
MCS France

"Bruno Ferrari" message de news:
> Bonjour,
>
> Voila, mon problème j'aimerai créer un répertoire virtuel situé sur un
> autre
> ordinateur. Pour cela, à l'aide du "Gestionnaire des services internet"
> et
> de
> son "Assistant de création de répertoire virtuel" je créé un répertoire
> virtuel en précisant l'alias (disons myFolder), le chemin UNC de mon
> répertoire (disons \MyFileServerMyFolder$) (c'est bien un partage
> caché)
> et
> lorsqu'il s'agit de spécifier les "Informations d'Identification de
> Sécurité"
> benoîtement je me dis je laisse la case cochée toute en bas parce que
> ce
> que
> je veux c'est que lorsque j'accèderai à la page
> http://myIISServer/myFolder
> IIS me demandera de m'identifier ce que je ferai. C'est bien ce qui se
> passe
> sauf que j'obtiens toujours la page "Vous n'êtes pas autorisé à
> afficher
> cette page", Erreur 401.3, Problème d'ACL sur la ressource demandée. Or
> les
> accréditations que je rentre depuis Internet Explorer (i.e. le compte
> (sous
> la forme \MyDomainmyself) et le mot de passe correct de ce compte).
> Si maintenant, insatisfait mais moins benoit, lorsque je recréé ce
> répertoire virtuel mais cette fois en décochant la petite case et en
> spécifiant le compte et le mot de passe, lorsque j'accède à
> http://MyIISServer/myFolder depuis I.E., IIS me demande mes
> accréditations,
> je les lui donne et cette fois ça marche. Mais je ne suis pas content
> parce
> que ce que je désire, c'est de ne pas avoir à fournir ces
> accréditations
> lorsque je créé le répertoire virtuel. Pourquoi ? Parce que j'en ai 600
> à
> créé... et que je ne connais pas les mots de passe de tout le monde...
> Et
> que
> je ne sais pas ce qui se passe quand l'utilisateur lambda change son
> mot
> de
> passe. Il va sans dire que les connections anonymes sont interdites sur
> myFolder.
> Qui peut m'aider ?
>
> Merci,
>
> Bruno Ferrari
>







Publicité
Poster une réponse
Anonyme