순수한 HTML 사이트 보안을위한 기술

Question

나는 누군가를 위해 순수한 HTML 웹 사이트를 확보해야한다는 어려움을 겪었습니다. 다음은 제약 조건입니다.

1. 모든 로그인은 현재 Active Directory 도메인과 연결되어야합니다.
2. (선택 사항이지만 원하는 경우) 솔루션은 인트라넷 내부에서 들어오는 요청을 허용해야합니다. 즉, 누군가 캠퍼스에서 사이트에 액세스하려고 시도하면 즉시 허용됩니다.
3. (선택 사항이지만 원하는 경우) 솔루션은 캠퍼스에 있는지 여부에 관계없이 허브 웹 사이트의 요청을 허용해야합니다. 이 허브 사이트는 Active Directory 도메인을 참조하는 로그인으로 보호되므로 본질적으로 패스 스루 요청입니다.

대다수의 사용자층은 기술적이지 않기 때문에 로그인에 대한 요청이 거의없는 풋 프린트가 적습니다.

일반적으로 나는이 문제에 아무런 문제가 없지만 이것은 순수한 HTML 웹 사이트이므로 내 옵션이 약간 제한적입니다. 내 현재 아이디어 :

1. 단순히 Active Directory 인증을 강제하려면 IIS6의 디렉터리 보안을 사용하십시오. 이 검사는 수명주기의 다른 어떤 것보다 먼저 나오고 거부 목록에서 아무 것도 빠르게 거부하기 때문에 IP 허가/거부를 ​​사용할 수 없습니다. 나는이 행동을 바꿀 수 없다.
2. 사용자의 통합 Windows 보안 자격 증명을 미리로드하고 HTML 웹 사이트에 자동으로 인증하는 허브 웹 사이트에있는 aspx 파일을 코딩합니다. 그러나 IIS에 관해서는 두 가지 다른 웹 사이트이며 악의적 인 실행과 최악의 경우 사이트 간 intrution 시도를 모방 한 것으로 들립니다.

내가 갇혔다는 것을 인정해야합니다. 누구도 전에 이런 문제를 처리 한 적이 있습니까?

Answer 1

IIS에서 pure-html 사이트를 실행하는 경우 .Net 웹 응용 프로그램으로 변환하면보다 풍부한 ASP.Net 보안 랩퍼를 사용하여 사용자 지정 조건부 양식 로그인에 리소스를 래핑 할 수 있습니다. 현재 애플리케이션에서 순수 HTML 파일을 제공 할 수 있습니다.

이것은 내가 볼 수있는 콘텐츠 관리자에게 단점이 없습니다. 당신을 가정

Answer 2

는 Windows2003/IIS6을 사용하고 웹 서버는 다음과 같은 작업을 수행 할 수 도메인의 일부입니다

1. 을 Active Directory에 대한 인증을 통합 및/또는 기본 인증을 사용하도록 웹 사이트를 구성합니다. 또한 익명 액세스를 비활성화하십시오. IIS 관리자에서 웹 사이트의 "디렉터리 보안"탭에서 "편집"을 클릭하여 이러한 설정을 찾을 수 있습니다. 사용자가 Internet Explorer 이외의 브라우저를 사용하는 경우에만 기본 기능을 활성화해야합니다. Basic을 사용하는 경우 SSL을 사용하여 사용자 이름과 암호를 보호해야합니다. 액세스 수준은 웹 사이트의 루트/하위 디렉토리에있는 파일/디렉토리에 설정된 사용 권한에 따라 결정됩니다. 이 디렉토리 내의 모든 파일은 인증 된 사용자에게만 제공됩니다.

2. 도메인의 사용자가 메시지를 표시하지 않고 로그온하도록 허용하려면 인트라넷 내의 사이트에 자동으로 로그온하도록 Internet Explorer를 구성해야합니다. 또한 IIS의 웹 사이트에 대해 통합 인증을 사용하도록 설정해야합니다.

3. 3 번 항목의 요구 사항이 충족되는지 확실하지 않습니다. 허브 웹 사이트가 가장을 사용하는 경우 일 수도 있습니다.은 도메인 내의 다른 서버에 Windows 자격 증명을 전달하지만 의심하지 않습니다.

참고 :

이

"윈도우 서버에서 IIS 웹 사이트 인증을 구성하는 방법 2003" 이 http://support.microsoft.com/kb/324274/

이 http://support.microsoft.com/kb/258063

"방법"Internet Explorer가 암호를 묻는 메시지가 나타날 수 있습니다 " Internet Explorer에서 보안 영역을 사용하는 방법 " http://support.microsoft.com/kb/174360/EN-US/