IIS 사이트에 대한 액세스를 AD 그룹으로 제한

22

IIS에서 IIS에 사이트를 설정하고 특정 AD 그룹의 사용자 만 액세스 할 수 있습니까?

active-directory iis-7 permissions

— 남자
소스

18

IIS 버전에 따라 다음이 작동합니다. 사이트의 디렉토리 루트에 web.config가없는 경우 (IIS7에 있어야 함) web.config를 추가해야합니다. 아래는 도메인 관리자를 허용하고 도메인 사용자를 거부합니다 (상당히 설명이 필요함). 이미 섹션 등이 있으면 구성 섹션을 정렬하십시오.

<configuration>
  <location path="MyPage.aspx/php/html">
      <system.web>
         <authorization>
            <allow users="DOMAIN\Domain Admins"/>
            <deny users="DOMAIN\Domain Users"/>
         </authorization>
      </system.web>
   </location>
</configuration>

이것이 제대로 작동하려면 사이트 환경 설정의 인증에서 Windows 인증을 활성화해야하지만 이미 활성화 한 것으로 가정합니다.

— 조쉬 앳킨스
소스

어떤 IIS 버전에서 작동합니까?

— svandragt

14

joshatkins의 답변 이 IIS7에서 작동하지 않습니다. IIS7의 경우 역할 속성을 사용해야합니다. 또한 전체 사이트를 제한하려면 location 요소가 필요하지 않습니다.

<authorization>
  <allow roles="DOMAIN\Domain Users"/>
  <deny users="*" />
</authorization>

— 앤더스
소스

9

개인이 답을 보는 순서를 알 수있는 방법이 없으므로 "위"또는 "아래"와 같은 참조를 사용하지 마십시오. 더 많은 답변이 게시되면 시간이 지남에 따라 문제가 악화됩니다. 대신 참조되는 답변의 포스터 이름을 참조해야합니다.

— John Gardeniers

11

IIS에서 기본 AD 인증을 수행 한 후이 작업을 수행하는 방법을 알아내는 데 도움이되는 다른 답변에 몇 가지 포인트 만 더 추가하면됩니다.

Windows Server Manager 를 통해 역할 또는 기능 추가 : 웹 서버 (IIS)-> 웹 서버-> 보안-> URL 권한 부여.
IIS 관리자 를 닫았다가 다시 엽니 다 (열린 경우) . 사이트의 IIS 섹션 아래에 권한 부여 규칙이 표시 됩니다. 이거 열어 봐
오른쪽 패널을 클릭하십시오 : 허용 규칙 추가
지정된 역할 또는 사용자 그룹 아래에 필요한 AD 그룹의 이름을 입력하십시오. 예. myDomain \ myGroup 을 선택하고 확인을 선택하십시오 .
필요한 그룹에 대해 4를 반복하십시오.

구성 파일을 직접 편집하려면 다음과 같이 보일 것입니다.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        ...
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Allow" roles="myDomain\myGroup01" />
                <add accessType="Allow" roles="myDomain\myGroup02" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

— 크리스
소스

Windows 인증 (NTLM / Kerb)도 활성화해야합니다. 그렇지 않으면 브라우저 세션 ID를 확인할 수없는 경우 역할 기반 권한 부여는 어떻게 작동합니까? 지시를 따르고 Windows 인증을 활성화하면 작동합니다!

— KFL

3

web.config 권한 부여 규칙을 사용할 수없는 경우 (예 : CGI 스크립트가 실행되기 때문에) 폴더 권한 시스템을 사용하여 상속을 비활성화하고 IIS 사용자를 제거하고 (아무도 읽기 권한이 없음) 보안 그룹을 추가 할 수 있습니다. 읽기 권한이 있습니다. 또한 방문자가 인식되도록 일부 형식의 인증 방법 (예 : 기본 또는 Windows 통합)을 활성화해야합니다.

— svandragt
소스

이 방법이 마음에 들지만 모든 사람의 요구에 맞지는 않지만 web.config를 사용하지 않아도됩니다.

— person

1

해당 도메인 그룹에만 폴더에 대한 읽기 권한을 부여해도 작동합니다.

— 후세이 인 얄리
소스

0

나는 그것이 매우 오래된 질문이라는 것을 알고 있지만 이것은 내 테스트 환경에서 필요한 것입니다.

이 방법은 저에게 효과적이며 로그인 팝업이 표시되며 문제없이 로그인 할 수 있습니다.

SSO를 사용하도록 어떻게 구성 할 수 있는지 궁금합니다. 로그인 한 사용자가 보안 그룹의 구성원 인 경우 신임 정보를 요청하십시오.

내 IIS는 Windows Server 2016 1607에 있으며 웹 사이트는 정적 HTML입니다.

— 9944990
소스