CONFIGURATION

Compréhension des options de configuration de la sécurité sous Microsoft IIS
Les options de sécurité de Microsoft™ IIS incluent des options permettant une configuration anonyme, de base, intégrée à Windows et SSL.

Accès anonyme

Cette option permet aux utilisateurs Web d'accéder à un site Web sans indiquer ni nom ni mot de passe. IIS attribue systématiquement aux utilisateurs Web anonymes un compte utilisateur anonyme spécifique que vous pouvez configurer. Si Accès anonyme est la seule méthode d'authentification IIS activée, IIS n'utilise pas les données d'identification utilisateur (nom et mot de passe de l'utilisateur) envoyées par le navigateur pour authentification ; le plug-in IIS transmet les informations d'identification à Domino et Domino authentifie l'utilisateur en suivant la procédure commune aux utilisateurs Web. Si un utilisateur anonyme tente d'accéder à une ressource Domino qui requiert une authentification, Domino répond conformément aux options de sécurité définies pour le site Web Domino (à l'aide d'une vérification de nom et de mot de passe de base ou d'une page de connexion d'authentification de session). Par conséquent, pour que Domino gère le processus d'authentification d'utilisateur dans son ensemble, vous devez activer Accès anonyme comme unique option de sécurité pour le site Web IIS lors de la configuration de l'authentification par nom et mot de passe.

Si vous utilisez l'option Accès anonyme, ayez à l'esprit les points suivants :


Authentification de base

Avec l'option Authentification de base, IIS vérifie les données d'identification de l'utilisateur transmises par le navigateur sous la forme d'un compte utilisateur valide. Si cette option est la seule méthode d'authentification IIS activée, IIS exige que toutes les demandes de navigateur comportent des données d'identification ; l'accès anonyme n'est pas autorisé. Si un utilisateur envoie une demande Domino, le plug-in IIS transmet le nom de l'utilisateur à Domino et informe Domino que l'utilisateur a été authentifié par IIS. Un tel utilisateur est dit "pré-authentifié". Le plug-in transmet le nom pré-authentifié tel que l'utilisateur l'a entré dans le navigateur. Domino tente alors de rechercher ce nom dans ses annuaires. Comme IIS a déjà vérifié le mot de passe de l'utilisateur, Domino n'utilise pas le mot de passe Internet enregistré dans l'entrée LDAP ou le document Personne de l'utilisateur.

Si Domino trouve le nom dans un annuaire Domino, il applique l'autorisation (vérification des LCA) au nom principal de l'enregistrement Personne. Si Domino ne trouve pas le nom, il soumet le nom pré-authentifié pour autorisation.

Dans les deux cas, Domino crée la liste des groupes de l'utilisateur en répertoriant tous les groupes de l'annuaire Domino dont l'utilisateur est membre, puis Domino ajoute le groupe spécial -WebPreAuthenticated- à la liste de groupes. Vous pouvez utiliser -WebPreAuthenticated- comme entrée de groupe dans les LCA de la base de documents et les autres listes d'accès.

Remarque : Si vous répertoriez les utilisateurs d'IIS par nom dans les LCA de la base de documents, veillez à utiliser la forme correcte de leur nom. Utilisez le nom principal si l'utilisateur est répertorié dans l'annuaire Domino ou le nom pré-authentifié IIS dans le cas contraire. Rappelez-vous que si un utilisateur est répertorié par nom dans une LCA et qu'il est également membre d'un groupe de la LCA (y compris du groupe -WebPreAuthenticated- ou de tout autre groupe), l'entrée de nom a priorité sur l'entrée de groupe.

En résumé, si vous utilisez l'authentification de base, ayez à l'esprit les points suivants :


Authentification Windows intégrée

L'authentification Windows intégrée est un protocole propre à Microsoft pris en charge par Internet Explorer (IE). Lorsqu'un utilisateur Web transmet une demande au site, IE envoie automatiquement à IIS le nom du compte de connexion Windows en cours de l'utilisateur. IIS vérifie le nom par rapport au registre Windows du serveur IIS. Lorsqu'un utilisateur envoie une demande Domino, le plug-in IIS transmet à Domino le nom Windows de l'utilisateur et Domino traite le nom pré-authentifié selon la procédure décrite dans la tâche précédente sur l'authentification de base.

Les noms de comptes Windows sont au format domaine\nom_utilisateur ou nomordinateur\nom_utilisateur : VENTES\JDupont, par exemple. Si Domino utilise des documents Personne de l'annuaire Domino pour authentifier les utilisateurs Windows, ces documents doivent contenir les noms exacts de comptes Windows sous forme d'alias. Par exemple, si Jean Dupont dispose d'un ID Notes dans le domaine "Ventes Groupe" et d'un compte utilisateur Windows dans le domaine Windows "VENTES" la zone "Nom de l'utilisateur" du document Personne de Jean Dupont doit comporter :

Jean Dupont/Ventes Groupe

VENTES\JDupont

Domino peut ainsi authentifier l'utilisateur Windows VENTES\JDupont en tant qu'utilisateur Domino Jean Dupont/Ventes Groupe.

En résumé, si vous utilisez l'authentification Windows intégrée, ayez à l'esprit les points suivants :


SSL

Si SSL est activé sur un serveur Web, IIS traite la connexion SSL proprement dite. Cependant, si un utilisateur Web fournit un certificat client, le plug-in IIS le transmet à Domino. Celui-ci utilise le certificat pour authentifier l'utilisateur. Si Domino ne trouve pas de certificat pour l'utilisateur, Domino fait passer l'utilisateur en mode d'accès anonyme.

Concepts associés
Authentification par nom et mot de passe pour les clients Internet et intranet