it-swarm.asia

IIS'de IUSR ve IWAM hesapları nelerdir?

Barındırma ortamımızı daha iyi yapılandırmama yardımcı olmak için IIS) tarafından kullanılan IUSR ve IWAM hesaplarının iyi bir açıklamasını arıyorum:

  • Onlar niçin burada?
  • Aralarındaki fark nedir?
  • İsimler anlamlı bir şey mi ifade ediyor?
  • Yapmam gereken en iyi uygulama değişiklikleri var mı?
  • IIS ayrıca uygulama havuzlarını Ağ Hizmeti, Yerel Hizmet veya Yerel Sistem olarak çalıştırma seçenekleri de sunuyor. Yapmalımıyım?
  • Web sunucum bir alanın parçası, bu bazı şeyleri nasıl değiştiriyor?

Birden fazla siteyi bir sunucuya dağıtırken bazı ekstra sorulara neden olan bu hesapların kendi sürümlerini oluşturmak yaygın gibi görünüyor:

  • Ne zaman kendi IUSR ve IWAM hesaplarımı oluşturmak isteyebilirim?
  • Doğru izinlere sahip olmaları için bu ek hesapları nasıl oluşturmalıyım?

Ben IIS 6 ve ve IIS 7 çoğunlukla varsayılan yapılandırmaları ile kullanıyorum.

23
Generic Error

IUSR ve IWAM, IIS ayrı olarak yüklediğinizde (bir OS bileşeni olarak değil) çok erken günlerine kadar uzanır. Varsayılan olarak, bir web sitesi anonim kimlik doğrulamasına izin veriyorsa, IUSR hesabı kullanılır Bu, varsayılan ayardan değiştirilebilir. En azından hesabı yeniden adlandırmak için bazı güvenlik önerileri vardır, bu nedenle bir "bilinen" hesap değildir, tıpkı bir yönetici hesabında yönetici hesabını yeniden adlandırmak için bir öneri olduğu gibi IUSR ve MSDN'de kimlik doğrulama hakkında daha fazla bilgi edinebilirsiniz.

IWAM, işlem dışı uygulamalar için tasarlanmıştır ve yalnızca IIS 6.0 = IIS 5.0 yalıtım modunda olduğunuzda) kullanılır. Genellikle COM ile gördünüz./DCOM nesneleri.

Uygulama havuzu kimlikleriyle ilgili olarak, varsayılan olarak Ağ Hizmeti olarak çalışmaktır. Yerel Sistem olarak çalıştırmamalısınız, çünkü bu hesabın yönetici haklarından daha büyük hakları vardır. Bu temelde sizi Ağ Hizmeti, Yerel Hizmet veya bu ikisi dışında bir yerel/etki alanı hesabına bırakır.

Ne yapılması gerektiği, duruma göre değişir. Ağ Hizmeti olarak bırakmanın bir avantajı, sunucudaki sınırlı bir ayrıcalık hesabıdır. Ancak, ağdaki kaynaklara eriştiğinde, EtkiAlanı\BilgisayarAdı $ olarak görünür, yani Ağ Hizmeti hesabının farklı bir kutuda çalışan SQL Server gibi kaynaklara erişmesine izin veren izinler atayabilirsiniz. Ayrıca, bilgisayar hesabı olarak göründüğünden, Kerberos kimlik doğrulamasını etkinleştirirseniz, sunucu adına göre web sitesine erişiyorsanız SPN zaten mevcuttur.

Belirli bir hesabın web tabanlı bir uygulama için SQL Server'a erişen hizmet hesabı gibi ağa bağlı kaynaklara erişmesini istiyorsanız, uygulama havuzunu belirli bir Windows etki alanı hesabıyla değiştirmeyi düşüneceğiniz bir durum. ASP.NET'te uygulama havuzu kimliğini değiştirmeden bunu yapmak için başka seçenekler de vardır, bu yüzden artık kesinlikle gerekli değildir. Etki alanı kullanıcı hesabı kullanmayı düşünmenizin bir başka nedeni de Kerberos kimlik doğrulaması yapıyor olmanız ve bir web uygulamasına hizmet veren birden çok web sunucunuz olması. SQL Server Raporlama Hizmetlerini sunan iki veya daha fazla web sunucunuz varsa iyi bir örnek. Ön uç, muhtemelen report.mydomain.com veya report.mydomain.com gibi genel bir url'ye gider. Bu durumda, SPN yalnızca AD içindeki bir hesaba uygulanabilir. Her sunucuda Ağ Hizmeti altında çalışan uygulama havuzlarınız varsa, bu çalışmaz, çünkü sunuculardan ayrıldıklarında EtkiAlanı\BilgisayarAdı $ olarak görünürler, yani sunucuları sunan sunucular kadar hesabınız olur Uygulamanın. Çözüm, bir etki alanı hesabı oluşturmak, tüm sunuculardaki uygulama havuzu kimliğini aynı etki alanı kullanıcı hesabına ayarlamak ve bir SPN oluşturmak ve böylece Kerberos kimlik doğrulamasına izin vermektir. Kullanıcı kimlik bilgilerini arka uç veritabanı sunucusuna iletmek isteyebileceğiniz SSRS gibi bir uygulama söz konusu olduğunda, Kerberos kimlik doğrulaması bir zorunluluktur, çünkü o zaman Kerberos temsilcisini yapılandırmanız gerekecektir.

Bunun alınması gereken çok şey olduğunu biliyorum, ancak kısa cevap Yerel Sistem dışında duruma bağlı.

34
K. Brian Kelley

IUSR = İnternet Kullanıcısı, yani web sitenize anonim, kimliği doğrulanmamış herhangi bir ziyaretçi (yani hemen hemen herkes)

IWAM = Internet Web Uygulama Yöneticisi, yani tüm ASP ve .NET uygulamalarınız bu hesap altında çalışacak

Genellikle, IUSR ve IWAM SADECE tam olarak ihtiyaç duydukları şeye erişebilmelidir. Hiçbir zaman başka bir şeye erişim izni verilmemelidir, bu hesapların güvenliğinin ihlal edilmesi durumunda kritik hiçbir şeye erişemezler.

Soru listenizden yardım edebileceğim her şeyle ilgili, IIS yönetim konusunda daha fazla deneyime sahip olan diğerleri size daha fazla yardımcı olabilir!

9
Mark Henderson

Her zaman bu kılavuza başvururum -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

İis.net'te çok şey bulabilirsiniz

basitçe söylemek gerekirse - IUSR varsayılan olarak c:\inetpub\wwwroot üzerinden izinlere sahip olan konuk hesaplarının dışındadır.

7
William Hilsum