Mise en place de dossier Web avec IIS 6.0 (WebDAV) Accueil > Articles > Système
Auteurs  Arnaud BERTHIER LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT - MICROSOFT STUDENT PARTNERS MCSE Windows 2003 Server - MCTS SQL Server 2005  Tous les articles de cet auteur		3,1/5 Assez Bien 32033 51/162

Introduction

Le protocole FTP est "LE" protocole connu et reconnu pour tout ce qui concerne le transfert de données sur Internet, notament pour son accès aisé depuis les navigateurs web. Néanmoins, celui-ci pose un problème de sécurité important : les mots de passe transitent en clair sur le réseau. Quiconque capable de capturer les trames Internet pourra ainsi obtenir le mot de passe servant à la connexion. Aussi, si le protocole FTP reste intéressant dans le cadre d'un accès anonyme, il montre ses limites pour tout accès authentifiés. Deux solutions existent, mais une seule peut être implémentés avec IIS. La première solution est d'utiliser le protocole FTPs, issue du protocole FTP et qui correspond au protocole HTTPs pour le protocole HTTP. Néanmoins, ce protocole n'est pas supportés par IIS 6.0. L'autre solution, consiste a utiliser l'extension du protocole HTTP, à savoir WebDAV. Cette dernière solution sera developpé dans cet article.

WebDAV est défini par l'IETF dans la RFC 2518. Ce protocole s'apparente au FTP car il permet le transfert de données sur Internet, mais il utilise le protocole HTTP (port 80) ou HTTPs (port 443) et non le protocole FTP (port 21). Tout comme ce dernier, WebDAV permet la gestion de fichier, et cela par un simple navigateur Internet (nativement sur Internet explorer 6, module supplémentaire pour Firefox) ou par l'intermédiaire d'un utilitaire (Windows 98). Il s'agit alors des dossiers Web (nom utilisé sous Microsoft Windows). D'une utilisation assez aisée, son objectif premier était de permettre l'accès aux données en écriture depuis les sites Web. Néanmoins, des fonctionnalités avancées permettent nativement une utilisation plus simple des données : ainsi, cette extension de protocole (couche réseau applicative : 7) gère l'accès simultané des utilisateurs en verouillant les documents en cours d'édition pour éviter les problèmes de mise à jour simultanés des documents. Plusieurs utilisateurs peuvent toutefois accéder simultanément aux sites s'il s'agit de documents différents.

WebDAV présente aussi un autre intérêt : le travail collaboratif. Ainsi, cette extension est supporté par certains logiciels (Office 2000 et supérieur, Dreamwaver,...). A ce titre, les metadonnées sont prises en compte (auteur, titre,...).

Dans la suite de cet article, la configuration compléte d'une solution sécurisé de WebDAV sera présenté. Le contrôle d'accès est pris en charge par IIS. Dans la mesure ou nous allons nous interesser exclusivement à la configuration des dossiers Web, certains pré-requis sont nécessaire.

1 - Pré-requis

En vue de mettre en place cette solution, deux éléments sont indispensable, à savoir :

• Windows 2003 Server (avec mise à jour de sécurité)
• Au moins un disque dur NTFS (qui contiendra le dossier Web

Note : Il est possible de convertir un disque dur FAT 32 en NTFS en exécutant la commande : "convert lettre_lecteur : /fs:ntfs".

2 - Installation de Internet Information Services 6.0

La gestion de WebDav est dépendante de IIS. Il est donc nécessaire d'installer IIS qui n'est pas déployé par défaut. Bien entendu, si IIS est déjà installé, vous pouvez aller à l'étape 3.

• Panneau de configuration > ajout suppression de programmes > Ajouter ou supprimer des composants Windows.
• Menu déroulant composants, cochez Serveur d’applications > Modifier > Services IIS > Modifier > cochez Publication WebDAV ainsi que Active Server Pages (ASP) > OK (2 fois) > suivant
• Insérez le cd contenant Windows 2003.
• Après l’installation appuyer sur Terminé.
• Vérifier l’existence du gestionnaire de services IIS dans les outils d’adm inistration.
• Dans le gestionnaire de services IIS, cliquer sur Extension du service Web, vérifier que WebDAV est marqué comme étant autorisé.

IIS est maintenant installé et configuré pour permettre l'utilisation des dossiers Web. Nous allons maintenant procéder à l'installation de l'autorité de certification.

3 - Mise en place de l'autorité de certification

Si vous ne souhaitez pas implémenter WebDAV avec SSL (cryptage des données), vous pouvez aller à l'étape 4. L'autorité de certification va permettre de mettre en place les certificats, éléments indispensables pour la mise en place du protocole HTTPs (HTTP & SSL).

Pour installer et configurer l’autorité de certification :

• Allez dans Panneau de configuration > Ajout/suppression de programme > Ajouter ou supprimer des composants Windows.
• Choisissez Service de certificats. Cliquez sur suivant.
• Cliquez sur suivant trois fois (laissez les réglages par défaut), entrez le nom de la machine faisant office d’autorité de certifications, puis suivant jusqu’à la fin de l’assistant.
• Si vous n’aviez pas configuré l’utilisation d’ASP avec IIS, il vous faudra le faire lorsque cela vous sera demandé (cf : installation de IIS).
• Patientez pendant l’installation, puis, à la fin de celle-ci, assurez vous que vous disposez de l’outil « Autorité de certifications » dans les outils d’administrations.
• Fermez la fenêtre d’ajout suppression des programmes puis celle du panneau de configuration.
• Vous disposez dorénavant d’une autorité de certifications.

4 - Création du site Internet : dossier Web

La création d'un dossier Web passe avant tout par la création d'un site Web classique sous IIS.

• Créer la partition (ou le dossier) à partager (il faut que le format soit du NTFS).
• Allez dans le Gestionnaire de services IIS.
• Clic droit sur sites web > nouveau site > suivant > description : WebDAV > suivant > entête hôte pour ce site web (par exemple : webdav.domaine.lan) > suivant.
• Indiquer votre chemin d’accès, désactiver les connections anonymes > suivant > cocher les cases lecture/écriture/parcourir.

Le site est installé. Néanmoins, celui-ci n'est pas configuré pour utiliser le cryptage SSL.

5 - Mise en place du cryptage SSL

Si vous ne désirez pas cryptez les données, vous pouvez aller à l'étape 6.

Le cryptage SSL utilise le protocole HTTPS, assurez vous d'ouvrir le port correspondant (443) dans le pare-feu de votre serveur. La mise en place du cryptage SSL se fait directement depuis IIS après avoir installer l'autorité de certification (étape 3).

• Allez dans le gestionnaire de services IIS.
• Clic gauche sur sites web > clic droit sur le site WebDAV > propriétés > onglet Sécurité du repertoire.
• Choisir "Certificat de serveur"
• Dans l'assistant : suivant > "Créer un certificat" > suivant > Envoyer immediatement la demande à une autorité de certification en ligne > suivant > nom du certificat : webdav (nom du site) > suivant > saisir les informations d'organisation (Exemple : Labo-Microsoft, Equipe Web)

• suivant > saisir le nom commun (Par exemple : webdav.labo-microsoft.com) > suivant > saisir les informations sur l'organisation juqu'à la fin de l'assistant.
• Une fois l'assistant terminé, verifiez celui-ci en cliquant sur "Afficher le certificat" > OK
• Cliquez sur "Modifier" > Cochez "Requérir un canal sécurisé (SSL)" > Puis "Exiger le cryptage 128 bits"

La connexion SSL est mise en place, il n'est plus possible de se connecter au site autrement qu'avec le protocole HTTPs.

6 - Configuration des autorisations d'accès

Lors de l'installation du site, les connexions anonymes ont été désactivées. Néanmoins, celle-ci peuvent être rétablies si vous désirez laisser l'accès anonymes (intranet).

La gestion des connexions se fait via le gestionnaire de service IIS, dans les propriétés du site pour ce qui est de la gestion du type de connexions, et dans autorisations pour la gestion des droits (clic droit sur le site > Autorisations).

Gestion des connexions :

• Lancer le gestionnaire de service IIS
• Propriétés du site WebDAV > Onglet : Sécurité du repertoire
• Choisir de modifier "Authentification et contrôle d'accès"
• On peut, si nécessaire réactiver les connexions anonymes, dans le cas contraire, on peut choisir le type d'authentification que l'on souhaite mettre en place (Cf : Annexe en fin d'article).
• Valider les eventuelles modifications

Gestion des droits

• Clic droit sur le site WebDAV puis Autorisations

• cliquer sur ajouter > taper WebDAV (ou ici : partage) > faire ok
• Pour WebDAV (ou ici : partage), configurer l’autorisation NTFS suivante : modifier.

7 - Informations complémentaires

Le dossier Web est maintenant configuré de façon à :

• Refuser les connexions anonymes.
• Utiliser le protocole HTTPs (SSL) avec un certificat
• Autoriser seulement le groupe d'utlisateur : partage

Pour accéder au site sous la forme d'un dossier, sous Internet Explorer, choisir Fichier > Ouvrir, puis taper l'URL du site (exemple : https://webdav.labo-microsoft.com et cocher "Ouvrir en tant que dossier Web".Le site va alors s'ouvrir sous la forme d'un dossier (similaire aux FTPs) ou l'écriture et la lecture seront défini en fonction des droits de l'utilisateur. A noter que le dossier Web est par la suite disponible dans les favoris réseau. Sous firefox, il est nécessaire de télécharger un plug-in.

Il peut être nécessaire de démarrer le service "Webclient" (cas sous Windows 2003 server) pour permettre l'accès aux dossiers Web

Au point de vue de la sécurité, il n'est pas possible sous IIS d'appliquer le composant WebDAV à un seul site. Il est donc important, dans l'hypothèse d'un hebergement de plusieurs sites, de veiller à la configuration des droits d'accès et des types d'authentifications utilisés afin que les autorisations soient les plus restrictives possibles.

Conclusion

Les dossiers Web offrent une bonne alternative aux serveurs FTP sous IIS. Leur facilité de mise en place ainsi que la mutliplicité des options (anonyme ou non, crypté ou non,...) font de ces dossiers Web une alternative intéressante, d'autant plus que cela peut-être se reveler intéressant pour le travail collaboratif (supporté par Office 2000 & 2003, dreamweaver, visual studio ...).

Annexe : types d'authentification sous IIS

Trois types d’authentification sont implémentables dans ce cas de figure sous IIS 6.0 :

• Authentification Windows intégrée : récupération des informations d’ouverture de sessions pour l’identification sur le site (valable si chaque utilisateur consulte le site depuis un ordinateur appartenant au domaine et sur lequel il s’est identifié avec ses paramètres personnels lors de l’ouverture de session), si l’utilisateur ne dispose pas de paramètres valides ou si son ordinateur n’est pas client du domaine, une boîte de dialogue apparaît demandant de saisir les informations d’un compte valide…
• Authentification Digest pour les serveurs de domaine Windows 2000 & 2003 : une boîte de dialogue apparaît demandant à l’utilisateur de saisir son login et mot de passe du domaine pour se connecter au site Internet. Par commodité, l’utilisateur peut enregistrer son nom d’utilisateur et mot de passe sous sa session pour permettre un accès rapide au site. Ce type d’authentification n’est possible que sur des serveurs de domaine Windows et n’est pas compatible avec tous les navigateur (fonctionnalités de HTTP 1.1)(compatible avec Internet explorer, firefox,…).
• Authentification de base : ATTENTION : NE PAS UTILISER SAUF SI UTILISE CONJOINTEMENT AVEC SSL. En effet, le mot de passe est transmis en clair sur le réseau (risque de capture de trame).

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft