Cours Microsoft Internet Information Services · basé sur le cours de André Aoun Cours Microsoft...
Transcript of Cours Microsoft Internet Information Services · basé sur le cours de André Aoun Cours Microsoft...
M2 MIAGeUniversité Paul Sabatier
2008 / 2009
Cédric Teyssié[email protected], http://www.cedric-teyssie.info
basé sur le cours de André Aoun
Cours MicrosoftInternet Information Services
2
IIS
Plan du coursM2 MIAGe
Université Paul Sabatier
2008 / 2009
Cédric Teyssié
Rappels
Exercice
FTP
Bibliographie
Plan :
1. Modèle DPA
2. Notion de port
3. Nommage dans l’internet
4. Paradigme Client/Serveur
5. URL
6. Sécurité d’accès
7. Serveurs Virtuels / Répertoires virtuels
3 Rappels
DPA : DoD Protocol Architecture
4 Couches :Accès réseau
Internet
Transport
Application
4 Le modèle DPA
Accès Réseau
Internet
Transport
Application
Ethernet
ftp
IP
TCP
UDP
IIS
Un port est un point d’accès à une ressource
Un service peut utiliser plusieurs port mais de manière EXCLUSIVE !
5 Notion de port
Accès Réseau
Internet
Transport
Application
ftp
port
WWW FTP
Nommage :une machine peut avoir un nom
une machine peut avoir des alias
Nommage hiérarchique par domaine
lecture de droite à gauche
DNS :fait la correspondance entre les noms et les adresses IP
fonctionnement hiérarchique et distribué
6
Nommage dans l’internet
com net fr org ...
cict
miage
cict free orangeups-tlse
miage . ups-tlse . frmiage . ups-tlse . fr
fr
ups-tlse
miage ...www
......
Client / Serveur :mode de communication distinguant deux rôles
Serveur :passifà l'écoute des requêtes envoyées par des clientstraite les requêtes et envoie une réponse aux clients.
Client :actifenvoie des requêtes au serveurattend et reçoit les réponses du serveur.
Cas WWW :Chaque document est transmis sur l’internet par un programme serveur à la réception d’une requête en provenance d’un programme client
Les règle de communication entre un client et un serveur web sont définies par le protocole HTTP
7
ParadigmeClient/Serveur
Serveur
Client
Réponse Requête
Illustration d’une application http :
Client 1
Client 2
httpd
Serveur WWW
Demande
Réponse
Réponse
Demande
8
ParadigmeClient/Serveur
Internet
Illustration d’une application http :
Client 1
Client 2
httpd
Serveur WWW
8
ParadigmeClient/Serveur
Internet
Documents
Serveur www
OS
1 ou plusieursmachines physiques
(evt. répartis surplusieurs emplacements)
Unified Ressource Locator
Chaque ressource est localisée par une adresse spécifiée de manière unique
Composée de :protocole
nom d’utilisateur
mot de passe
nom du serveur (ou son @IP)
numéro de port d’écoute du serveur
chemin d’accès à la ressource
9 URLprotocole
://
login
:password
@
serveur (nom complet ou IP):
port
/
chemin d’accès à la ressource
http://www.cict.fr / index.html
optionnel}80 pour www
Sécurité d’accès aux ressources
3 niveaux :
Réseau et OS (Firewall)
Serveur WWW
Système d’exploitation (ACL SGF)
ATTENTION à leur enchaînement
10 Sécurité d’accès
httpd
Serveur WWW
1
2
3
321Approved
11
Illustration du fonctionnement (cas 1)
Sécurité d’accès
Client
httpd
Serveur WWW
Demande
Internet
Utilisateur non authentifié, Pas de droit de passage...
11
Illustration du fonctionnement (cas 1)
Sécurité d’accès
Client
httpd
Serveur WWW
Internet
Utilisateur non authentifié, Pas de droit de passage...
REFUSE
1
12
Illustration du fonctionnement (cas 2)
Sécurité d’accès
Client
httpd
Serveur WWW
Demande
Internet
Utilisateur non authentifié,accès interdit à la ressource...
OK
12
Illustration du fonctionnement (cas 2)
Sécurité d’accès
Client
httpd
Serveur WWW
Internet
Utilisateur non authentifié,accès interdit à la ressource...
REFUSE2
13
Illustration du fonctionnement (cas 3)
Sécurité d’accès
Client
httpd
Serveur WWW
Internet
Accès aux ressourcesdemandé au SGF
Demande
OK OK
13
Illustration du fonctionnement (cas 3)
Sécurité d’accès
Client
httpd
Serveur WWW
Internet
Accès aux ressourcesdemandé au SGF
REFUSE
3
14
Illustration du fonctionnement (cas 4)
Sécurité d’accès
Client
httpd
Serveur WWW
Demande
Réponse
Internet
OKOK
OK
OK
1
2
3
Comment accéder aux pages d’un serveur web public sans être authentifié ???
via l’accès anonyme !
C’est une requête qui arrive au serveur sans identification de l’utilisateurMAIS on connaît toujours l’adresse IP du client
Possibilité d’interdire les connexion anonymes.
Comment le serveur web accède-t-il aux ressources alors ?
le service fonctionne sous une session d’un utilisateurIl a donc les mêmes droits ... et interdits !
Attention :
Usurpation d’identité par la serveur
Accès Anonyme
2
3
Par convention, chaque nom de domaine tel que www.domaine.com, représente un ordinateur individuel
Mais il est possible de faire passer un ordinateur individuel non seulement pour un serveur primaire mais également pour plusieurs serveurs, correspondant aux diverses directions de l’entreprise
Exemple www.domaine.com peut être la même machine que :commercial.domaine.com, ventes.domaine.com ...
Pour cela, il suffit d’avoir plusieurs adresses IP pour l’hôte et d’affecter une adresse IP par Serveur Virtuel.
On peut aussi différencier par le numéro de port mais c’est plus visible au niveau de l’URL.
16 Serveur Virtuel
Le serveur Web ne peut pas publier des documents qui ne se trouvent pas dans les répertoires spécifiés.
Chaque site Web ou FTP doit avoir un répertoire de base.
Le répertoire de base est l'emplacement central où sont stockées les pages publiées. contient un fichier de page d'accueil ou d'index qui donne la bienvenue aux utilisateurs et contient des liens vers d'autres pages du site.
Pour effectuer une publication à partir d'un répertoire non contenu dans le répertoire de base, il faut créer un répertoire virtuel.
Un répertoire virtuel est un répertoire qui n'est pas contenu dans le répertoire de base, mais qui apparaît comme tel dans les navigateurs clients
17
Notion de répertoire virtuel
Un répertoire virtuel comporte un alias, qui est un nom utilisé par les navigateurs Web pour accéder à ce répertoire.
Un alias est :
généralement plus court que le nom du chemin d'accès du répertoire
il est plus pratique à saisir pour les utilisateurs.
Un alias est plus sûr.
En effet, les utilisateurs ne savent pas où vos fichiers sont stockés physiquement sur le serveur et ne peuvent donc pas utiliser cette information pour les modifier.
Les alias vous permettent de déplacer plus facilement des répertoires dans votre site. Plutôt que de modifier l'URL du répertoire, vous modifiez la correspondance entre l'alias et l'emplacement physique du répertoire.
18
Notion de répertoire virtuel
Un répertoire virtuel comporte un alias, qui est un nom utilisé par les navigateurs Web pour accéder à ce répertoire
Illustration :
19
Notion de répertoire virtuel
Client 1
Serveur IIS
C:
E:
D:
Un répertoire virtuel comporte un alias, qui est un nom utilisé par les navigateurs Web pour accéder à ce répertoire
Illustration :
20
Notion de répertoire virtuel
Client 1Serveur IIS E:
Accès à /index.html
Accès à /Rep1/img.jpg
Accès à /Rep2/son.aac
/inetpub/www/
/Rep1
/Makapuf
ALIAS CHEMIN PHYSIQUE
D:
C:
21
Rappels
Plan du coursM2 MIAGe
Université Paul Sabatier
2008 / 2009
Cédric Teyssié
Exercice
FTPIIS
Bibliographie
Plan :
1. Caractéristiques de IIS
2. Installation
3. Lancement
4. Création de site web
5. Propriétés d’un site web
22
Internet Information Services
Internet Informations Services (IIS) constitue la suite d’applications internet de Microsoft®
IIS permet la mise en oeuvre de serveurs pour http, ftp, nntp et smtp. La dernière version est la version 7 contenue dans Windows Server 2008.
Nous utiliserons la version 6 actuellement la plus répandue avec Windows Server 2003.
IIS repose sur le noyau de Windows et bénéficie de toute la sécurité d’accès aux ressources de Windows
L’administration d’IIS se fait à travers la MMC (Microsoft Management console)
L’installation d’IIS :
installe les dossiers de publication
configure par défaut les serveurs
crée des comptes utilisateurs (notamment IUSR_<nom_machine>)
23 Caractéristiques d’IIS
IIS est un ensemble de services...
Chacun peut donc être activé ou désactivé comme les autres services Windows.
24 Caractéristiques d’IIS
Contrôle du fonctionnement
25 Installation d’IIS
26 Installation d’IIS
27 Installation d’IIS
Sélectionner les composants essentiels de IIS à installer :
Fichiers communs
Gestionnaire IIS
Sélectionner les services de IIS à installer :
Service FTP
Service WWW
Service SMTP
Service NNTP
Puis tout valider...
Dans les outils d’administration ...
28 Lancement d’IIS
29 Un nouveau site Web ?
Comment faire :
et suivre l’assistant ..
Remarque : IIS sous les versions pro de Windows XP ne permettent la création que d’un seul site web
30
Propriétés du serveur web
Interface générale IIS :
Services IIS
Sites ftp
Sites www
Contenu du site web
Mise en fonctionnement
Arrêt du service
Interruption du service
Arborescence des
ressources
Localisation des ressources
31
Propriétés du serveur web
Menu contextuel :
Propriétés du serveur
Catégories
Nom du site dans IIS
Interface IPPersistance des
connexions
Journalisation
port
32
Propriétés du serveur web
Propriétés du journal :
Planification
Emplacement du journal
choisir les éléments à journaliser
33
Propriétés du serveur web
Limiter la bande passante consommée
Limiter le nombre de connexions entrantes
niveau 2
34
Propriétés du serveur web
Origine de la ressource à publier
chemin d’accès à la ressource physique
droits d’accès
Paramètres applicatifs
chemin par défaut de
IIS
niveau 2
35
Propriétés du serveur web
Ressource située sur un autre serveur
chemin d’accès à la ressource physique
\\<@serveur>\<nom_de_partage>
Possibilité d’authentification
niveau 2/3+ 3local distant
36
Propriétés du serveur web
Ressource située sur un autre serveur
WWW public
chemin d’accès à la ressource (URL)
Type de redirection
niveau 2 + 1/2/3local distant
37
Propriétés du serveur web
Choix de la page d’accueil
-ordre et type-
Ajout d’un pied de page
38
Propriétés du serveur web
Personnalisation des messages d’erreurs
HTTP
Types d’erreurs
Traitementassocié
39
Propriétés du serveur web
Type d’authentification
Restrictions d’accès par IP et domaine
Connexions sécurisées
40
Propriétés du serveur web
Connexions anonymes
Type d’authentification
Compte utilisateur LOCAL utilisé pour l’accès aux pages
(Attention aux ACL)
Compte IIS par défaut(crée à
l’installation)
authentification de windows (ex : login)
authentification via active directory
authentification via login/pass
niveau 3
niveau 2/3
41
Propriétés du serveur web
@IP concernées(masques...)
Droit par défaut
niveau 2
42
Rappels
Plan du coursM2 MIAGe
Université Paul Sabatier
2008 / 2009
Cédric Teyssié
Exercice
FTPIIS
Bibliographie
Plan :
1. Service FTP de IIS
2. Partage de répertoire
3. Mode Isolation
4. Isolation couplé avec Active Directory
43 FTP
Lors de la connexion, FTP utilise le login de l’utilisateur pour accéder au SGF
3 modes de fonctionnement :Mode Partage de répertoire
Mode Isolation des utilisateurs simple
Mode Isolation des utilisateurs avec Active Directory
Ces modes ne sont pas combinables au sein du même site FTP dans IIS
On peut les combiner en utilisant les ACL
La configuration du service FTP de IIS est analogue à celle du service WWW
44 Le Service FTP de IIS
Utilité : Permet à un groupe d’utilisateurs avec les login différents d’accéder à la même ressource
Mode par défaut dans IIS
Exemple d’emploi :
téléversement de fichiers
téléchargement public de fichiers
FTP Anonyme
Configuration : voir le service WWW
45 Partage de répertoire
Permet à chaque utilisateur d’accéder à un répertoire qui lui est propre
Ce répertoire porte le nom du login de l'utilisateurTous les utilisateurs ne disposant pas de ce dossier ne pourront pas se connecter.
Il se situe à la racine du site FTP
Pour utiliser le mode isolation FTP simple de IIS, il faut :1. créer un dossier LocalUser (avec les droits corrects dans IIS)2. dans ce dossier créer un dossier dont le nom est identique à chaque utilisateur
concerné.Ex: utilisateur nommé sav_larache --> dossier LocalUser\sav_larache
3. Procéder ensuite comme dans le mode partagé
Remarque : Le service FTP ne permet pas d'afficher les répertoires virtuels dans le client FTP. C'est un choix de conception. Toutefois, un petit "truc" permet d'y remédier. Il suffit de recréer physiquement l'arborescence virtuelle dans le répertoire de base de l'utilisateur. Le répertoire physique apparaît logiquement dans le client FTP. Attention, un clic dessus valide le répertoire virtuel et non le dossier physique...
46 Isolation simple
L’isolation utilise l’annuaire
Le chemin jusqu’au répertoire de l’utilisateur est stocké dans les propriétés du compte utilisateurs de l’Active Directory
Contrairement à l’isolation simple, le répertoire utilisé peut être librement nommé (ne porte pas obligatoirement un nom identique au login de l'utilisateur).
Pour utiliser le mode isolation FTP avec AD de IIS, il faut :1. Création du partage (ou du répertoire)2. Associer l’utilisateur et son répertoire en affectant les attributs suivants :
FTPRoot : contient le chemin absolu vers le répertoire de base du site FTPFTPDir : contient le nom du répertoire de l’utilisateur dans le répertoire de base FTPRoot
3. Créer le site FTP en mode isolation avec AD.Préciser le compte utilisateur qui sera utilisé par IIS pour accéder à l'annuaire.Sécurité : Utiliser un compte utilisateur pour cet accès
Gestion des attributs de l’AD via le script iisftp.vbs :cscript.exe C:\windows\system32\iisftp.vbs /getadprop <login> <attribut> <chemin>
47
Isolation avec Active Directory
utilisateur concerné
FTPRootFTPDir
Accès à la ressource
ou setadprop pour affecter
48
Rappels
Plan du coursM2 MIAGe
Université Paul Sabatier
2008 / 2009
Cédric Teyssié
FTP
Exercice
IIS
Bibliographie
49 ExerciceVous êtes webmestre d’un site nommé www.monsite.com. Afin de rendre ce site opérationnel vous devez réaliser l’architecture web suivante :
Tout le monde doit pouvoir accéder au site web (accueil, forum)
Seuls les utilisateurs authentifiés comme membre pourront accéder à la partie prive et pourront envoyer leurs fichiers dans le répertoire upload.
Tout le monde doit pouvoir télécharger (uniquement !) des fichiers du dossier téléchargement.
L’utilisateur authentifié webmestre doit pouvoir mettre à jour l’ensemble du site web.
L’utilisateur authentifié admin_forum ne doit pouvoir mettre à jour que le forum.
Les utilisateurs authentifiés comme membres privilégiés doivent pouvoir envoyer des fichiers dans le dossier de téléchargement.
Les utilisateurs authentifiés comme membre doivent pouvoir mettre à jour des fichiers dans le dossier de upload de la partie forum.
Le schéma suivant indique la répartition des sources (html…) à mettre en ligne.
Question : Décrire (et détailler) les opérations à mettre en œuvre.
50 Exercice
Exam M2 Miage
Partie IIS
I ) Questions de cours
1) Expliquez et illustrez sur un schéma, le principe de fonctionnement des autorisations
sous IIS/Windows.
2) Qu’est-ce qu’une arborescence virtuelle ? Expliquez son intérêt.
3) Expliquez comment peut-on modifier les messages d’erreurs transmis à l’utilisateur
par un serveur IIS.
II ) Exercice
Vous êtes webmestre d’un site nommé www.monsite.com. Afin de rendre ce site opérationnel
vous devez réaliser l’architecture web suivante :
Vous devez aussi vous conformer aux hypothèses suivantes :
• Tout le monde doit pouvoir accéder au site web (accueil, forum)
• Seuls les utilisateurs authentifiés comme membre pourront accéder à la partie prive et
pourront envoyer leurs fichiers dans le répertoire upload.
• Tout le monde doit pouvoir télécharger (uniquement !) des fichiers du dossier
téléchargement.
• L’utilisateur authentifié webmestre doit pouvoir mettre à jour l’ensemble du site web.
• L’utilisateur authentifié admin_forum ne doit pouvoir mettre à jour que le forum.
• Les utilisateurs authentifiés comme membres privilégiés doivent pouvoir envoyer des
fichiers dans le dossier de téléchargement.
• Les utilisateurs authentifiés comme membre doivent pouvoir mettre à jour des fichiers
dans le dossier de upload de la partie forum.
Le schéma suivant indique la répartition des sources (html…) à mettre en ligne.
Question : Décrire (et détailler) les opérations à mettre en œuvre.
Architecture du site web :
51 Exercice
Exam M2 Miage
Partie IIS
I ) Questions de cours
1) Expliquez et illustrez sur un schéma, le principe de fonctionnement des autorisations
sous IIS/Windows.
2) Qu’est-ce qu’une arborescence virtuelle ? Expliquez son intérêt.
3) Expliquez comment peut-on modifier les messages d’erreurs transmis à l’utilisateur
par un serveur IIS.
II ) Exercice
Vous êtes webmestre d’un site nommé www.monsite.com. Afin de rendre ce site opérationnel
vous devez réaliser l’architecture web suivante :
Vous devez aussi vous conformer aux hypothèses suivantes :
• Tout le monde doit pouvoir accéder au site web (accueil, forum)
• Seuls les utilisateurs authentifiés comme membre pourront accéder à la partie prive et
pourront envoyer leurs fichiers dans le répertoire upload.
• Tout le monde doit pouvoir télécharger (uniquement !) des fichiers du dossier
téléchargement.
• L’utilisateur authentifié webmestre doit pouvoir mettre à jour l’ensemble du site web.
• L’utilisateur authentifié admin_forum ne doit pouvoir mettre à jour que le forum.
• Les utilisateurs authentifiés comme membres privilégiés doivent pouvoir envoyer des
fichiers dans le dossier de téléchargement.
• Les utilisateurs authentifiés comme membre doivent pouvoir mettre à jour des fichiers
dans le dossier de upload de la partie forum.
Le schéma suivant indique la répartition des sources (html…) à mettre en ligne.
Question : Décrire (et détailler) les opérations à mettre en œuvre.
Architecture physique :
52
Rappels
Plan du coursM2 MIAGe
Université Paul Sabatier
2008 / 2009
Cédric Teyssié
FTPIIS
BibliographieExercice
Site web http://www.httr.ups-tlse.fr, partie IIS
William R. Stanek, IIS 6.0 sous Windows Server 2003, Guide de l'administrateur (10/2003), ISBN 2100072013.
Microsoft Corporation, Deployer IIS 6.0 sous Windows Server 2003, Microsoft Press (11/2003), ISBN 2100073397
Johnny Brochard, IIS 6 Internet Information Services 6 (11/2005), ISBN 2746029901
53 Bibliographie :