Sécurité sous Windows NT

 ^{5 sur 9}     Authentification de FrontPage sur IIS

Quand un auteur ou un administrateur effectue sur le client FrontPage une opération qui requiert les extensions serveur FrontPage sur IIS, le client FrontPage et les extensions serveur communiquent en utilisant un protocole d'appel de procédure à distance (RPC) en amont de HTTP et HTML. Une requête POST est envoyée à partir du client FrontPage à une des trois bibliothèques de liens dynamiques des extensions serveur FrontPage :

• Les requêtes d'actions administratives sont adressées à admin.dll.
• Les requêtes d'opérations d'auteur sont adressées à author.dll.
• Les requêtes d'actions de navigation sont adressées à shtml.dll.

Quand une action d'un visiteur d'un site Web FrontPage étendu nécessite les extensions serveur FrontPage, comme lorsque le visiteur envoie un formulaire de recherche, le navigateur Web envoie une requête POST au programme des extensions serveur FrontPage exécutables pendant la navigation, shtml.dll.

Quand IIS reçoit une requête pour les extensions serveur FrontPage, il se connecte au nom de l'utilisateur et transmet directement la requête à admin.dll, author.dll ou shtml.dll. La bibliothèque de liens dynamiques (DLL) des extensions serveur FrontPage vérifie ensuite les autorisations de l'administrateur, auteur ou visiteur représenté dans l'ACL stockée dans le dossier racine du site ou sous-site Web FrontPage étendu. (Si le sous-site Web a hérité de ses autorisations, la bibliothèque effectue cette vérification dans le site Web parent du sous-site.) Les extensions serveur FrontPage procèdent à cette vérification en utilisant des appels système standard de Windows NT. Si la vérification est effectuée avec succès, la DLL des extensions serveur FrontPage exécute l'action demandée. Si la vérification échoue, la DLL renvoie cette information à IIS, qui envoie le message « Autorisation refusée » au client FrontPage ou au navigateur Web.

Notez qu'un seul jeu de DLL des extensions serveur FrontPage est installé sur les serveurs IIS, dans le dossier
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\Version4.0. (Dans les précédentes versions des extensions serveur FrontPage, des stubs de ces programmes étaient stockés sur chaque site et sous-site Web FrontPage étendu.) Les DLL des extensions serveur FrontPage sont installées de sorte que chaque utilisateur, y compris le compte anonyme, disposent des autorisations appropriées pour y accéder. Cela vous permet de limiter les visiteurs, auteurs ou administrateurs pour chaque site Web FrontPage étendu. Vous pouvez aussi restreindre les autorisations sur ces DLL en utilisant le gestionnaire d'utilisateurs Windows NT. Dans ce cas, veillez cependant à ce qu'elles autorisent tous les visiteurs, auteurs et administrateurs légitimes à accéder au site Web FrontPage étendu.

L'utilisation du composant logiciel enfichable MMC, vous permet de créer un répertoire virtuel sur un partage Universal Naming Convention (UNC). Lorsque vous faites ceci, vous êtes invité à donner un nom d'utilisateur et un mot de passe pour accéder au répertoire mapé. Vous n'avez pas à fournir un nom et un mot de passe à l'invite, et vous ne le devez pas. Si vous le faites néanmoins, chaque requête vers le répertoire virtuel sera exécutée comme le compte que vous avez donné, créant ainsi une brèche dans le système de sécurité.