Cours Microsoft Internet Information Services · basé sur le cours de André Aoun Cours Microsoft...

M2 MIAGeUniversité Paul Sabatier

2008 / 2009

Cédric Teyssié[email protected], http://www.cedric-teyssie.info

basé sur le cours de André Aoun

Cours MicrosoftInternet Information Services

2

IIS

Plan du coursM2 MIAGe

Université Paul Sabatier

2008 / 2009

Cédric Teyssié

[email protected]

Rappels

Exercice

FTP

Bibliographie

Plan :

1. Modèle DPA

2. Notion de port

3. Nommage dans l’internet

4. Paradigme Client/Serveur

5. URL

6. Sécurité d’accès

7. Serveurs Virtuels / Répertoires virtuels

3 Rappels

DPA : DoD Protocol Architecture

4 Couches :Accès réseau

Internet

Transport

Application

4 Le modèle DPA

Accès Réseau

Internet

Transport

Application

Ethernet

ftp

IP

TCP

UDP

IIS

Un port est un point d’accès à une ressource

Un service peut utiliser plusieurs port mais de manière EXCLUSIVE !

5 Notion de port

Accès Réseau

Internet

Transport

Application

ftp

port

WWW FTP

Nommage :une machine peut avoir un nom

une machine peut avoir des alias

Nommage hiérarchique par domaine

lecture de droite à gauche

DNS :fait la correspondance entre les noms et les adresses IP

fonctionnement hiérarchique et distribué

6

Nommage dans l’internet

com net fr org ...

cict

miage

cict free orangeups-tlse

miage . ups-tlse . frmiage . ups-tlse . fr

fr

ups-tlse

miage ...www

......

Client / Serveur :mode de communication distinguant deux rôles

Serveur :passifà l'écoute des requêtes envoyées par des clientstraite les requêtes et envoie une réponse aux clients.

Client :actifenvoie des requêtes au serveurattend et reçoit les réponses du serveur.

Cas WWW :Chaque document est transmis sur l’internet par un programme serveur à la réception d’une requête en provenance d’un programme client

Les règle de communication entre un client et un serveur web sont définies par le protocole HTTP

7

ParadigmeClient/Serveur

Serveur

Client

Réponse Requête

Illustration d’une application http :

Client 1

Client 2

httpd

Serveur WWW

Demande

Réponse

Réponse

Demande

8


Internet

Illustration d’une application http :

Client 1

Client 2

httpd

Serveur WWW

8


Internet

Documents

Serveur www

OS

1 ou plusieursmachines physiques

(evt. répartis surplusieurs emplacements)

Unified Ressource Locator

Chaque ressource est localisée par une adresse spécifiée de manière unique

Composée de :protocole

nom d’utilisateur

mot de passe

nom du serveur (ou son @IP)

numéro de port d’écoute du serveur

chemin d’accès à la ressource

9 URLprotocole

://

login

:password

@

serveur (nom complet ou IP):

port

/

chemin d’accès à la ressource

http://www.cict.fr / index.html

optionnel}80 pour www

Sécurité d’accès aux ressources

3 niveaux :

Réseau et OS (Firewall)

Serveur WWW

Système d’exploitation (ACL SGF)

ATTENTION à leur enchaînement

10 Sécurité d’accès

httpd

Serveur WWW

1

2

3

321Approved

11

Illustration du fonctionnement (cas 1)

Sécurité d’accès

Client

httpd

Serveur WWW

Demande

Internet

Utilisateur non authentifié, Pas de droit de passage...

11



Client

httpd

Serveur WWW

Internet

Utilisateur non authentifié, Pas de droit de passage...

REFUSE

1

12



Client

httpd

Serveur WWW

Demande

Internet

Utilisateur non authentifié,accès interdit à la ressource...

OK

12



Client

httpd

Serveur WWW

Internet

Utilisateur non authentifié,accès interdit à la ressource...

REFUSE2

13



Client

httpd

Serveur WWW

Internet

Accès aux ressourcesdemandé au SGF

Demande

OK OK

13



Client

httpd

Serveur WWW

Internet

Accès aux ressourcesdemandé au SGF

REFUSE

3

14



Client

httpd

Serveur WWW

Demande

Réponse

Internet

OKOK

OK

OK

1

2

3

Comment accéder aux pages d’un serveur web public sans être authentifié ???

via l’accès anonyme !

C’est une requête qui arrive au serveur sans identification de l’utilisateurMAIS on connaît toujours l’adresse IP du client

Possibilité d’interdire les connexion anonymes.

Comment le serveur web accède-t-il aux ressources alors ?

le service fonctionne sous une session d’un utilisateurIl a donc les mêmes droits ... et interdits !

Attention :

Usurpation d’identité par la serveur

Accès Anonyme

2

3

Par convention, chaque nom de domaine tel que www.domaine.com, représente un ordinateur individuel

Mais il est possible de faire passer un ordinateur individuel non seulement pour un serveur primaire mais également pour plusieurs serveurs, correspondant aux diverses directions de l’entreprise

Exemple www.domaine.com peut être la même machine que :commercial.domaine.com, ventes.domaine.com ...

Pour cela, il suffit d’avoir plusieurs adresses IP pour l’hôte et d’affecter une adresse IP par Serveur Virtuel.

On peut aussi différencier par le numéro de port mais c’est plus visible au niveau de l’URL.

16 Serveur Virtuel

Le serveur Web ne peut pas publier des documents qui ne se trouvent pas dans les répertoires spécifiés.

Chaque site Web ou FTP doit avoir un répertoire de base.

Le répertoire de base est l'emplacement central où sont stockées les pages publiées. contient un fichier de page d'accueil ou d'index qui donne la bienvenue aux utilisateurs et contient des liens vers d'autres pages du site.

Pour effectuer une publication à partir d'un répertoire non contenu dans le répertoire de base, il faut créer un répertoire virtuel.

Un répertoire virtuel est un répertoire qui n'est pas contenu dans le répertoire de base, mais qui apparaît comme tel dans les navigateurs clients

17

Notion de répertoire virtuel

Un répertoire virtuel comporte un alias, qui est un nom utilisé par les navigateurs Web pour accéder à ce répertoire.

Un alias est :

généralement plus court que le nom du chemin d'accès du répertoire

il est plus pratique à saisir pour les utilisateurs.

Un alias est plus sûr.

En effet, les utilisateurs ne savent pas où vos fichiers sont stockés physiquement sur le serveur et ne peuvent donc pas utiliser cette information pour les modifier.

Les alias vous permettent de déplacer plus facilement des répertoires dans votre site. Plutôt que de modifier l'URL du répertoire, vous modifiez la correspondance entre l'alias et l'emplacement physique du répertoire.

18


Un répertoire virtuel comporte un alias, qui est un nom utilisé par les navigateurs Web pour accéder à ce répertoire

Illustration :

19


Client 1

Serveur IIS

C:

E:

D:

Un répertoire virtuel comporte un alias, qui est un nom utilisé par les navigateurs Web pour accéder à ce répertoire

Illustration :

20


Client 1Serveur IIS E:

Accès à /index.html

Accès à /Rep1/img.jpg

Accès à /Rep2/son.aac

/inetpub/www/

/Rep1

/Makapuf

ALIAS CHEMIN PHYSIQUE

D:

C:

21

Rappels



2008 / 2009

Cédric Teyssié

[email protected]

Exercice

FTPIIS

Bibliographie

Plan :

1. Caractéristiques de IIS

2. Installation

3. Lancement

4. Création de site web

5. Propriétés d’un site web

22

Internet Information Services

Internet Informations Services (IIS) constitue la suite d’applications internet de Microsoft®

IIS permet la mise en oeuvre de serveurs pour http, ftp, nntp et smtp. La dernière version est la version 7 contenue dans Windows Server 2008.

Nous utiliserons la version 6 actuellement la plus répandue avec Windows Server 2003.

IIS repose sur le noyau de Windows et bénéficie de toute la sécurité d’accès aux ressources de Windows

L’administration d’IIS se fait à travers la MMC (Microsoft Management console)

L’installation d’IIS :

installe les dossiers de publication

configure par défaut les serveurs

crée des comptes utilisateurs (notamment IUSR_<nom_machine>)

23 Caractéristiques d’IIS

IIS est un ensemble de services...

Chacun peut donc être activé ou désactivé comme les autres services Windows.

24 Caractéristiques d’IIS

Contrôle du fonctionnement

25 Installation d’IIS


Sélectionner les composants essentiels de IIS à installer :

Fichiers communs

Gestionnaire IIS

Sélectionner les services de IIS à installer :

Service FTP

Service WWW

Service SMTP

Service NNTP

Puis tout valider...

Dans les outils d’administration ...

28 Lancement d’IIS

29 Un nouveau site Web ?

Comment faire :

et suivre l’assistant ..

Remarque : IIS sous les versions pro de Windows XP ne permettent la création que d’un seul site web

30

Propriétés du serveur web

Interface générale IIS :

Services IIS

Sites ftp

Sites www

Contenu du site web

Mise en fonctionnement

Arrêt du service

Interruption du service

Arborescence des

ressources

Localisation des ressources

31


Menu contextuel :

Propriétés du serveur

Catégories

Nom du site dans IIS

Interface IPPersistance des

connexions

Journalisation

port

32


Propriétés du journal :

Planification

Emplacement du journal

choisir les éléments à journaliser

33


Limiter la bande passante consommée

Limiter le nombre de connexions entrantes

niveau 2

34


Origine de la ressource à publier

chemin d’accès à la ressource physique

droits d’accès

Paramètres applicatifs

chemin par défaut de

IIS

niveau 2

35


Ressource située sur un autre serveur

chemin d’accès à la ressource physique

\\<@serveur>\<nom_de_partage>

Possibilité d’authentification

niveau 2/3+ 3local distant

36


Ressource située sur un autre serveur

WWW public

chemin d’accès à la ressource (URL)

Type de redirection

niveau 2 + 1/2/3local distant

37


Choix de la page d’accueil

-ordre et type-

Ajout d’un pied de page

38


Personnalisation des messages d’erreurs

HTTP

Types d’erreurs

Traitementassocié

39


Type d’authentification

Restrictions d’accès par IP et domaine

Connexions sécurisées

40


Connexions anonymes

Type d’authentification

Compte utilisateur LOCAL utilisé pour l’accès aux pages

(Attention aux ACL)

Compte IIS par défaut(crée à

l’installation)

authentification de windows (ex : login)

authentification via active directory

authentification via login/pass

niveau 3

niveau 2/3

41


@IP concernées(masques...)

Droit par défaut

niveau 2

42

Rappels



2008 / 2009

Cédric Teyssié

[email protected]

Exercice

FTPIIS

Bibliographie

Plan :

1. Service FTP de IIS

2. Partage de répertoire

3. Mode Isolation

4. Isolation couplé avec Active Directory

43 FTP

Lors de la connexion, FTP utilise le login de l’utilisateur pour accéder au SGF

3 modes de fonctionnement :Mode Partage de répertoire

Mode Isolation des utilisateurs simple

Mode Isolation des utilisateurs avec Active Directory

Ces modes ne sont pas combinables au sein du même site FTP dans IIS

On peut les combiner en utilisant les ACL

La configuration du service FTP de IIS est analogue à celle du service WWW

44 Le Service FTP de IIS

Utilité : Permet à un groupe d’utilisateurs avec les login différents d’accéder à la même ressource

Mode par défaut dans IIS

Exemple d’emploi :

téléversement de fichiers

téléchargement public de fichiers

FTP Anonyme

Configuration : voir le service WWW

45 Partage de répertoire

Permet à chaque utilisateur d’accéder à un répertoire qui lui est propre

Ce répertoire porte le nom du login de l'utilisateurTous les utilisateurs ne disposant pas de ce dossier ne pourront pas se connecter.

Il se situe à la racine du site FTP

Pour utiliser le mode isolation FTP simple de IIS, il faut :1. créer un dossier LocalUser (avec les droits corrects dans IIS)2. dans ce dossier créer un dossier dont le nom est identique à chaque utilisateur

concerné.Ex: utilisateur nommé sav_larache --> dossier LocalUser\sav_larache

3. Procéder ensuite comme dans le mode partagé

Remarque : Le service FTP ne permet pas d'afficher les répertoires virtuels dans le client FTP. C'est un choix de conception. Toutefois, un petit "truc" permet d'y remédier. Il suffit de recréer physiquement l'arborescence virtuelle dans le répertoire de base de l'utilisateur. Le répertoire physique apparaît logiquement dans le client FTP. Attention, un clic dessus valide le répertoire virtuel et non le dossier physique...

46 Isolation simple

L’isolation utilise l’annuaire

Le chemin jusqu’au répertoire de l’utilisateur est stocké dans les propriétés du compte utilisateurs de l’Active Directory

Contrairement à l’isolation simple, le répertoire utilisé peut être librement nommé (ne porte pas obligatoirement un nom identique au login de l'utilisateur).

Pour utiliser le mode isolation FTP avec AD de IIS, il faut :1. Création du partage (ou du répertoire)2. Associer l’utilisateur et son répertoire en affectant les attributs suivants :

FTPRoot : contient le chemin absolu vers le répertoire de base du site FTPFTPDir : contient le nom du répertoire de l’utilisateur dans le répertoire de base FTPRoot

3. Créer le site FTP en mode isolation avec AD.Préciser le compte utilisateur qui sera utilisé par IIS pour accéder à l'annuaire.Sécurité : Utiliser un compte utilisateur pour cet accès

Gestion des attributs de l’AD via le script iisftp.vbs :cscript.exe C:\windows\system32\iisftp.vbs /getadprop <login> <attribut> <chemin>

47

Isolation avec Active Directory

utilisateur concerné

FTPRootFTPDir

Accès à la ressource

ou setadprop pour affecter

48

Rappels



2008 / 2009

Cédric Teyssié

[email protected]

FTP

Exercice

IIS

Bibliographie

49 ExerciceVous êtes webmestre d’un site nommé www.monsite.com. Afin de rendre ce site opérationnel vous devez réaliser l’architecture web suivante :

Tout le monde doit pouvoir accéder au site web (accueil, forum)

Seuls les utilisateurs authentifiés comme membre pourront accéder à la partie prive et pourront envoyer leurs fichiers dans le répertoire upload.

Tout le monde doit pouvoir télécharger (uniquement !) des fichiers du dossier téléchargement.

L’utilisateur authentifié webmestre doit pouvoir mettre à jour l’ensemble du site web.

L’utilisateur authentifié admin_forum ne doit pouvoir mettre à jour que le forum.

Les utilisateurs authentifiés comme membres privilégiés doivent pouvoir envoyer des fichiers dans le dossier de téléchargement.

Les utilisateurs authentifiés comme membre doivent pouvoir mettre à jour des fichiers dans le dossier de upload de la partie forum.

Le schéma suivant indique la répartition des sources (html…) à mettre en ligne.

Question : Décrire (et détailler) les opérations à mettre en œuvre.

50 Exercice

Exam M2 Miage

Partie IIS

I ) Questions de cours

1) Expliquez et illustrez sur un schéma, le principe de fonctionnement des autorisations

sous IIS/Windows.

2) Qu’est-ce qu’une arborescence virtuelle ? Expliquez son intérêt.

3) Expliquez comment peut-on modifier les messages d’erreurs transmis à l’utilisateur

par un serveur IIS.

II ) Exercice

Vous êtes webmestre d’un site nommé www.monsite.com. Afin de rendre ce site opérationnel

vous devez réaliser l’architecture web suivante :

Vous devez aussi vous conformer aux hypothèses suivantes :

• Tout le monde doit pouvoir accéder au site web (accueil, forum)

• Seuls les utilisateurs authentifiés comme membre pourront accéder à la partie prive et

pourront envoyer leurs fichiers dans le répertoire upload.

• Tout le monde doit pouvoir télécharger (uniquement !) des fichiers du dossier

téléchargement.

• L’utilisateur authentifié webmestre doit pouvoir mettre à jour l’ensemble du site web.

• L’utilisateur authentifié admin_forum ne doit pouvoir mettre à jour que le forum.

• Les utilisateurs authentifiés comme membres privilégiés doivent pouvoir envoyer des

fichiers dans le dossier de téléchargement.

• Les utilisateurs authentifiés comme membre doivent pouvoir mettre à jour des fichiers

dans le dossier de upload de la partie forum.



Architecture du site web :

51 Exercice

Exam M2 Miage

Partie IIS

I ) Questions de cours

1) Expliquez et illustrez sur un schéma, le principe de fonctionnement des autorisations

sous IIS/Windows.

2) Qu’est-ce qu’une arborescence virtuelle ? Expliquez son intérêt.

3) Expliquez comment peut-on modifier les messages d’erreurs transmis à l’utilisateur

par un serveur IIS.

II ) Exercice

Vous êtes webmestre d’un site nommé www.monsite.com. Afin de rendre ce site opérationnel

vous devez réaliser l’architecture web suivante :

Vous devez aussi vous conformer aux hypothèses suivantes :

• Tout le monde doit pouvoir accéder au site web (accueil, forum)

• Seuls les utilisateurs authentifiés comme membre pourront accéder à la partie prive et

pourront envoyer leurs fichiers dans le répertoire upload.

• Tout le monde doit pouvoir télécharger (uniquement !) des fichiers du dossier

téléchargement.

• L’utilisateur authentifié webmestre doit pouvoir mettre à jour l’ensemble du site web.

• L’utilisateur authentifié admin_forum ne doit pouvoir mettre à jour que le forum.

• Les utilisateurs authentifiés comme membres privilégiés doivent pouvoir envoyer des

fichiers dans le dossier de téléchargement.

• Les utilisateurs authentifiés comme membre doivent pouvoir mettre à jour des fichiers

dans le dossier de upload de la partie forum.



Architecture physique :

52

Rappels



2008 / 2009

Cédric Teyssié

[email protected]

FTPIIS

BibliographieExercice

Site web http://www.httr.ups-tlse.fr, partie IIS

William R. Stanek, IIS 6.0 sous Windows Server 2003, Guide de l'administrateur (10/2003), ISBN 2100072013.

Microsoft Corporation, Deployer IIS 6.0 sous Windows Server 2003, Microsoft Press (11/2003), ISBN 2100073397

Johnny Brochard, IIS 6 Internet Information Services 6 (11/2005), ISBN 2746029901

53 Bibliographie :

[email protected] Cours 2008 / 2009

Cours MicrosoftInternet Information

Services

! made on a mac

Cours Microsoft Internet Information Services · basé sur le cours de André Aoun Cours Microsoft...

Documents

Transcript of Cours Microsoft Internet Information Services · basé sur le cours de André Aoun Cours Microsoft...