(IIS) Beveiliging folder zonder domein. I.c.m non IE Browser - Serversoftware en clouddiensten

donderdag 22 september 2011 16:11

Acties:

Topicstarter

Ik ben een webserver "Server 2008 R2 Datacenter" aan het inrichten die in een DMZ zit.
Aangezien deze server dan geen toegang heeft tot het domein wat in de Inside zit, is het een stand-alone server geworden.

Maar nu heb ik het volgende probleem.
Het beveiligen van een subdirectory C:\inetpub\www
Het gaat alleen om statische HTML files.

De volgende methoden zijn mogelijk maar maken meestal gebruik van een domain controller, of werken niet over een firewall of alternatieve browsers zoals op telefoons.)

Basic Authentication (Passwords Clear text en maar 1 user mogelijk)
Windows Authentication (Werkt niet als je met een blackberry browser de pagina opent. Geen login scherm. Is eigenlijk voor interne sites en niet over firewalls)
Digest Authentication (Domain controller nodig, en die is er niet)
Client Certificate Mapping Authentication (Geen ervaring met certificaten)
IIS Client Certificate Mapping Authentication (Idem)
URL Authorization (Is hier asp voor nodig?)

Wat is hiervoor een goede oplossing.
Is een volledige standalone server, dus er hoeft geen rekening gehouden te worden met andere applicatie's.
Alvast bedankt.

donderdag 22 september 2011 17:10

Acties:

Meekoh

Wat wil je eigenlijk bereiken?

Computer says no

donderdag 22 september 2011 17:44

Acties:

CertLog

Basic Authentication is het meest compatible, zeker met mobiele devices.
Aangezien het echter je password in plaintext verstuurt zou ik dit over SSL doen.
Dus dan heb je nog een SSL certificaat nodig.
Hou er wel rekening mee dat je mobiele devices waarschijnlijk minder CA's standaard
vertrouwen, dus laat je SSL certificaat door een van de bekendere CA's signen.
Dit kost wel wat, maar dan heb je ook wat.

Een andere optie is om een extra authenticatie plugin voor IIS te maken/kopen.
Bijvoorbeeld http://www.tcpdata.com/radiis_overview.shtml
(ik heb er zelf geen ervaring mee)

If you cannot dazzle them with brilliance, baffle them with bullshit.

donderdag 22 september 2011 22:21

Acties:

alt-92

ye olde farte

offtopic:
Ik snap eveneens de keuze voor Datacenter niet - wat jij wil kan je al prima met Standard ed. bereiken en die mag je nota bene op dezelfde licentie als je DC ed. gebruiken*.
Of was dat een kwestie van 'die kon ik toevallig downloaden en klonk wel heftig?'

*mits virtualized

[ Voor 4% gewijzigd door alt-92 op 22-09-2011 22:23 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 23 september 2011 08:18

Acties:

Borrelnootje11

Topicstarter

Ja, het is een virtuele server. En het is geen hobby/thuisserver.
En er is momenteel alleen een template van 2008 R2 datacenter.
En ik weet dat ik dan ook een linux server hiervoor kan gebruiken.
Maar is nogal lang geleden dat ik daar mee gewerkt heb en heb nu de tijd er niet voor om dat uit te zoeken.
Waarschijnlijk zet ik die over een half jaar wel op en verhuis het bestand daar naar toe.

De bedoeling is dat ik met een script een html bestand van een server in het Inside netwerk kopieer.
Om de zoveel tijd word dat bestand geupdate en een antal collega's zouden dat bestand op afstand willen bekijken met hun blackberrry om over actuele data te beschikken.

Maar als ik met een ssl certificaat ga werken zou ik het ook eventueel op de blackberry's kunnen installeren.
Het gaat erom dat alleen telefoons erop kunnen die ik zelf in beheer heb.

:edit
De bedoelings is dus een login scherm net als met windows authentication.
Maar dat venster krijg je niet op een mobiele browser.

[ Voor 25% gewijzigd door Borrelnootje11 op 23-09-2011 09:02 ]

maandag 26 september 2011 08:54

Acties:

Borrelnootje11

Topicstarter

Kickje

woensdag 28 september 2011 13:30

Acties:

Borrelnootje11

Topicstarter

Is hier geen oplossing voor.
Of moet het dan Linux worden?

woensdag 28 september 2011 18:38

Acties:

Wim-Bart

Zie signature voor een baan.

off-topic:
Datacenter is waarschijnlijk een keuze omdat het een Virturele machine is en ze of onder Hyper-V of VMWare draaien. Daardoor zijn alle licenties in de farm gelijk. Datacenter bied meer, maar je kan hem gewoon inrichten zoals een normale R2.

on-topic
Maar wat ik begrijp is het volgende:

1. Je hebt een website met statische HTML pagina's,
2. Gebruikers moeten inloggen om de informatie te mogen zien.

Er zijn drie mogelijkheden:
1. Je moet voor iedere gebruiker een account aanmaken op je Windows doos;
2. Je moet de server in Active Directory hangen;
3. Je moet een eigen authenticatie bedenken.

1. Iedere gebruiker aanmaken op je webserver.
Complete waanzin. Niet aan beginnen, alleen al het niet synchroon lopen van accounts en groepen maakt het allemaal vreselijk.

2. Je moet de server in Active Directory hangen;
Geen gekke oplossing, kan je netjes met AD rechten werken op groepsniveau en de security op meerdere wijzen toepassen, bijvoorbeeld via plain-text (af te raden) en NTLM authenticatie. Leuke oplossing, maar ook met de nodige risico's. Tevens kan ik me voorstellen dat je geen interactie op AD gebied wil tussen AD en je webserver.

3. Je moet een eigen authenticatie bedenken.
Dit is de meest nette. Alleen moet je hierover niet te moeilijk doen. Ik denk dat je moet gaan kijken naar een CMS systeem zoals Joemla of een equivalent. Daarbij kan je de site vormgeven en de content gewoon al plain opnemen in de omgeving. Authorisatie kan dan via een LDAP plugin waarbij je mogelijkheden hebt voor Single Sign-on/user synchroinisatie en nog veel meer.

Conclusie
Rechten geven op een website aan de hand van onderliggende bestandsrechten is eigenlijk een no-go. Uit meerdere overwegingen. Daarnaast kan je het beheer van de site en de rechten uit handen geven naar mensen welke geen OS ervaring hebben zonder dat je verzeild raakt in een wazige discussie over specifieke rechten.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 28 september 2011 20:58

Acties:

alt-92

ye olde farte

Of je zet authenticatie en autorisatie op via LDAP / ADLDS en je zorgt dat je een sync houdt tussen je AD accounts (ldifde export/import) bjivoorbeeld.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 29 september 2011 12:05

Acties:

Borrelnootje11

Topicstarter

Iig alvast bedankt voor het meedenken.

Rechten veranderen daarna niet. alleen als iemand uit dienst zou gaan.

1. Iedere gebruiker aanmaken is op zich geen probleem.
Het gaat om ong. 10 gebruikers en misschien minder.
Probleem waar ik tegen aan liep was met het gebruik van een internet browser van een mobiele telefoon.
Blackberry's in dit geval. Dan krijg je het authenticatie scherm niet wat je op je computer wel krijgt.

2. Dit is niet mogelijk omdat een server vanuit de dmz geen toegang heeft tot het inside netwerk waar de DC zit.
Dus geen AD toegang.

3. Hoe makkelijk is dit te realiseren omdat we een html file elke 5 minuten ongeveer kopieren vanaf onze interne applicatieserver. Als je de exacte url weet heb je dan toch toegang zonder authorisatie tot dit bestand en kom je niet op de joomla login pagina. Er draait ook geen php, asp of iets dergelijks op zodat die het bestand uitlezen en doorsturen.
Het is puur 1 html file met wat prijzen erop die op de applicatieserver automatisch opgehaalt worden. En daarna gekopieerd worden met een batch script naar een share.

Ik zoek eigenlijk een soort oplossing als .htaccess. want daar werkt het volgens mij wel mee. Dat lijkt mij de oplossing.