Teknologi

Otentikasi Pengguna di IIS

Otentikasi pengguna di IIS adalah salah satu langkah awal dalam mengamankan IIS. Ketika pengguna mencoba mengakses situs web atau situs FTP di mesin IIS, otentikasi adalah proses yang memverifikasi apakah pengguna memang dapat mengakses situs. Otentikasi dan izin digabungkan secara erat. Setelah pengguna diautentikasi, izin NTFS menentukan apakah pengguna dapat mengakses folder dan file dan izin Web menunjukkan apakah klien Web atau FTP dapat membaca direktori home atau virtual situs web.

Metode otentikasi yang mengotentikasi pengguna di IIS 6 tercantum di bawah ini. Setiap metode otentikasi mengotentikasi pengguna yang mencoba mengakses situs web. Namun, hanya akses Anonim dan Otentikasi Dasar yang dapat diaktifkan untuk situs FTP.

  • Akses anonim.
  • Otentikasi Dasar.
  • Otentikasi Windows Terintegrasi.
  • Otentikasi Intisari.
  • Otentikasi Paspor.NET.

Metode otentikasi untuk situs web dapat dikonfigurasi pada tingkat berikut:

  • Node Situs Web: Tab Keamanan Direktori digunakan.
  • Situs web tertentu: Tab Keamanan Direktori digunakan.
  • Direktori virtual: Tab Keamanan Direktori digunakan.
  • File tertentu: Tab Keamanan File digunakan.

Metode otentikasi dapat dikonfigurasi untuk situs FTP pada tingkat berikut:

  • Simpul Situs FTP: Tab Akun Keamanan digunakan.
  • Situs FTP spesifik: Tab Akun Keamanan digunakan.

Ketika lebih dari satu metode otentikasi dikonfigurasi untuk situs web, direktori virtual, atau file, urutan di mana metode otentikasi yang didukung di IIS diterapkan, tercantum di bawah ini:

  1. Metode otentikasi akses anonim diterapkan terlebih dahulu.
  2. Ketika metode otentikasi akses Anonim tidak dikonfigurasi atau didukung, metode Otentikasi Terintegrasi Windows dicoba, metode Otentikasi Intisari dicoba berikutnya, dan metode Otentikasi Dasar dicoba terakhir.
  3. Tidak ada metode otentikasi lain yang tersedia saat metode otentikasi paspor.NET dikonfigurasi.

Metode Integrated Windows Authentication adalah metode otentikasi standar digunakan untuk otentikasi pengguna mencoba untuk log on ke Windows 2000 atau Windows Server 2003 komputer atau jaringan. Otentikasi Windows Terpadu adalah metode otentikasi yang disarankan untuk mengautentikasi pengguna yang mencoba mengakses situs web dan FTP pada mesin IIS.

Otentikasi Windows Terintegrasi terdiri dari dua metode otentikasi berikut:

  • NTLMv2 metode yang digunakan ketika mesin IIS berjalan dalam jaringan yang berisi pengontrol domain Windows NT atau ketika IIS mesin milik kelompok kerja.
  • Otentikasi Kerberos digunakan ketika mesin IIS milik domain – tidak ada pengontrol domain Windows NT.

Persyaratan metode Otentikasi Windows Terintegrasi tercantum di bawah ini:

  • Internet Explorer 3.01 atau yang lebih baru.
  • Otentikasi Windows Terintegrasi dapat mengalami masalah dengan firewall dan server proxy. Oleh karena itu, pengguna mungkin perlu mengkonfigurasi klien Web untuk mengakses server Web melalui koneksi terowongan, seperti Point-to-Point Tunneling Protocol (PPTP).

Otentikasi Intisari hanya dapat diaktifkan jika Direktori Aktif digunakan. Otentikasi Intisari mengirimkan kredensial pengguna melalui jaringan dengan memanfaatkan hash MD5 terenkripsi, dan karena itu lebih aman daripada metode Otentikasi Dasar.

Persyaratan metode Otentikasi Intisari tercantum di bawah ini:

  • Internet Explorer 5 atau lebih baru.
  • Direktori Aktif harus digunakan dengan pengontrol domain yang menjalankan Windows 2000 atau Windows Server 2003.
  • Akun pengguna domain harus dikonfigurasi untuk pengguna.
  • Pengguna dan mesin IIS harus milik domain yang sama. Jika tidak, domain yang sama harus mempercayai mereka.
  • Mesin IIS harus menggunakan akun LocalSystem saat cara isolasi proses pekerja diaktifkan.

Otentikasi Dasar dianggap sebagai metode autentikasi paling tidak aman yang dapat digunakan untuk mengautentikasi pengguna di IIS karena menggunakan nama pengguna dan kata sandi teks yang jelas. Fungsi Otentikasi Dasar melalui server proxy dan bekerja dengan semua klien browser. Otentikasi Dasar diaktifkan untuk situs FTP secara default.

Dengan .NET Passport Authentication ,.NET passport digunakan untuk otentikasi dan otentikasi terjadi melalui metode masuk tunggal. Saat diaktifkan, kredensial pengguna memiliki akun Paspor unik. Akun Paspor terletak di server Paspor yang terhubung ke Internet. Microsoft mengelola server Paspor. IIS mengirimkan informasi Paspor pengguna ke server Paspor untuk otentikasi ketika pengguna mencoba mengakses situs web IIS.

Langkah-langkah yang harus digunakan untuk mengaktifkan.NET Passport Authentication tercantum di bawah ini:

  1. Siapkan ID situs dan semua pengaturan konfigurasi Paspor yang diperlukan pada mesin IIS. Gunakan Utilitas Administrasi Manajer Paspor, msppcnfg.exe, untuk melakukan tugas ini.
  2. Dapatkan sertifikat server untuk situs web. Sertifikat ini mengidentifikasi situs web ketika permintaan otentikasi pengguna diteruskan ke server Paspor.
  3. Daftarkan situs web dengan situs Microsoft’s Passport.

Cara Mengonfigurasi Pengaturan Otentikasi di Tingkat Situs Web

  1. Buka Manajer IIS.
  2. Klik kanan situs web di pohon konsol dan pilih Properti dari menu pintasan.
  3. Saat kotak dialog Properti situs web terbuka, klik tab Keamanan Direktori.
  4. Di bagian Otentikasi dan Kontrol Akses pada tab Keamanan Direktori, klik tombol Edit.
  5. Kotak dialog Metode Otentikasi terbuka. Konfigurasikan pengaturan yang tercantum di bawah ini pada kotak dialog ini:
    • Kotak centang Aktifkan akses anonim situs web dapat diaktifkan atau dinonaktifkan. Akses anonim biasanya digunakan untuk situs publik.
    • Opsi yang dapat dikonfigurasi di area Akses Terotentikasi dari kotak dialog Metode Otentikasi adalah:
      • Otentikasi Windows Terintegrasi: Ini adalah opsi paling aman yang dapat digunakan untuk otentikasi di IIS. Kerberos versi 5 digunakan jika browser klien menyertakan dukungan untuk protokol. Otentikasi NTLM digunakan ketika browser klien tidak mendukung Kerberos versi 5.
      • Otentikasi Intisari Untuk Server Domain Windows: Opsi ini hanya dapat diaktifkan jika Direktori Aktif digunakan. Digest Authentication mengirimkan kredensial pengguna melalui jaringan dengan memanfaatkan hash MD5 terenkripsi.
      • Otentikasi Dasar: Ini adalah metode otentikasi terlemah yang tersedia untuk IIS dan harus digunakan ketika tidak ada metode otentikasi lain yang dapat digunakan. Otentikasi dasar menggunakan nama pengguna dan kata sandi teks yang jelas.
      • .NET Passport Authentication: Saat diaktifkan,.NET Passport digunakan untuk otentikasi dan otentikasi terjadi melalui metode masuk tunggal.
  6. Klik Oke.

Cara Mengonfigurasi Metode Otentikasi di Tingkat Situs FTP

  1. Buka Manajer IIS.
  2. Klik kanan situs FTP di pohon konsol dan pilih Properti dari menu pintasan.
  3. Ketika kotak dialog Properties untuk situs FTP terbuka, klik tab Security Accounts.
  4. Tab Akun Keamanan memiliki dua kotak centang berikut:
    • Izinkan Koneksi Anonim.
    • Izinkan Hanya Koneksi Anonim.
  1. Untuk hanya mengaktifkan metode otentikasi Akses Anonim, pilih kotak centang Izinkan Koneksi Anonim dan kotak centang Izinkan Hanya Koneksi Anonim.
  2. Untuk mengaktifkan metode otentikasi Akses Anonim dan metode otentikasi Dasar, pilih saja kotak centang Izinkan Koneksi Anonim. Otentikasi Akses Anonim akan dicoba secara otomatis sebelum Otentikasi dasar dicoba.
  3. Untuk hanya mengaktifkan otentikasi Dasar, pastikan bahwa kotak centang Izinkan Koneksi Anonim dan Izinkan Hanya Koneksi Anonim dikosongkan (tidak dipilih).
  4. Klik Oke.

Cara Mengonfigurasi Pengaturan Otentikasi di Tingkat Alamat IP

Batasi akses Web pada tingkat alamat IP dengan hanya mengizinkan pengguna mengakses situs yang menggunakan alamat IP dari daftar alamat IP yang telah ditentukan sebelumnya.

Untuk melakukan ini:

  1. Buka Manajer IIS.
  2. Klik kanan situs web di pohon konsol dan pilih Properti dari menu pintasan.
  3. Saat kotak dialog Properti situs web terbuka, klik tab Keamanan Direktori.
  4. Di bagian Alamat IP dan Pembatasan Nama Domain pada tab Keamanan Direktori, klik tombol Edit.
  5. Kotak dialog Pembatasan Nama Domain dan Alamat akan terbuka.
  6. Menggunakan kotak dialog, tentukan bahwa semua komputer diberikan akses atau tentukan komputer yang tidak boleh diberikan akses dengan mencantumkan alamat IP atau nama domain mereka.
  7. Klik tombol Tambah untuk memasukkan alamat IP pengguna tertentu dalam daftar.
  8. Klik Oke.