Introduction
Le protocole FTP est "LE" protocole connu et reconnu pour tout ce qui
concerne le transfert de données sur Internet, notament pour son accès aisé
depuis les navigateurs web. Néanmoins, celui-ci pose un problème de sécurité
important : les mots de passe transitent en clair sur le réseau. Quiconque
capable de capturer les trames Internet pourra ainsi obtenir le mot de passe
servant à la connexion. Aussi, si le protocole FTP reste intéressant dans le
cadre d'un accès anonyme, il montre ses limites pour tout accès authentifiés.
Deux solutions existent, mais une seule peut être implémentés avec IIS. La
première solution est d'utiliser le protocole FTPs, issue du protocole FTP et
qui correspond au protocole HTTPs pour le protocole HTTP. Néanmoins, ce
protocole n'est pas supportés par IIS 6.0. L'autre solution, consiste a utiliser
l'extension du protocole HTTP, à savoir WebDAV. Cette dernière solution sera
developpé dans cet article.
WebDAV est défini par l'IETF dans la RFC 2518. Ce protocole s'apparente au
FTP car il permet le transfert de données sur Internet, mais il utilise le
protocole HTTP (port 80) ou HTTPs (port 443) et non le protocole FTP (port 21).
Tout comme ce dernier, WebDAV permet la gestion de fichier, et cela par un
simple navigateur Internet (nativement sur Internet explorer 6, module
supplémentaire pour Firefox) ou par l'intermédiaire d'un utilitaire (Windows
98). Il s'agit alors des dossiers Web (nom utilisé sous Microsoft Windows).
D'une utilisation assez aisée, son objectif premier était de permettre l'accès
aux données en écriture depuis les sites Web. Néanmoins, des fonctionnalités
avancées permettent nativement une utilisation plus simple des données : ainsi,
cette extension de protocole (couche réseau applicative : 7) gère l'accès
simultané des utilisateurs en verouillant les documents en cours d'édition pour
éviter les problèmes de mise à jour simultanés des documents. Plusieurs
utilisateurs peuvent toutefois accéder simultanément aux sites s'il s'agit de
documents différents.
WebDAV présente aussi un autre intérêt : le travail collaboratif. Ainsi,
cette extension est supporté par certains logiciels (Office 2000 et supérieur,
Dreamwaver,...). A ce titre, les metadonnées sont prises en compte (auteur,
titre,...).
Dans la suite de cet article, la configuration compléte d'une solution
sécurisé de WebDAV sera présenté. Le contrôle d'accès est pris en charge par
IIS. Dans la mesure ou nous allons nous interesser exclusivement à la
configuration des dossiers Web, certains pré-requis sont nécessaire.
1 - Pré-requis
En vue de mettre en place cette solution, deux éléments sont indispensable, à
savoir :
- Windows 2003 Server (avec mise à jour de sécurité)
- Au moins un disque dur NTFS (qui contiendra le dossier Web
Note : Il est possible de convertir un disque dur FAT 32 en NTFS en exécutant
la commande : "convert lettre_lecteur : /fs:ntfs".
2 - Installation de Internet Information Services 6.0
La gestion de WebDav est dépendante de IIS. Il est donc nécessaire
d'installer IIS qui n'est pas déployé par défaut. Bien entendu, si IIS est déjà
installé, vous pouvez aller à l'étape 3.
- Panneau de configuration > ajout suppression de programmes > Ajouter ou
supprimer des composants Windows.
- Menu déroulant composants, cochez Serveur d’applications > Modifier >
Services IIS > Modifier > cochez Publication WebDAV ainsi que Active Server
Pages (ASP) > OK (2 fois) > suivant
- Insérez le cd contenant Windows 2003.
- Après l’installation appuyer sur Terminé.
- Vérifier l’existence du gestionnaire de services IIS dans les outils
d’adm inistration.
- Dans le gestionnaire de services IIS, cliquer sur Extension du service
Web, vérifier que WebDAV est marqué comme étant autorisé.
IIS est maintenant installé et configuré pour permettre l'utilisation des
dossiers Web. Nous allons maintenant procéder à l'installation de l'autorité de
certification.
3 - Mise en place de l'autorité de certification
Si vous ne souhaitez pas implémenter WebDAV avec SSL (cryptage des données),
vous pouvez aller à l'étape 4. L'autorité de certification va permettre de
mettre en place les certificats, éléments indispensables pour la mise en place
du protocole HTTPs (HTTP & SSL).
Pour installer et configurer l’autorité de certification :
- Allez dans Panneau de configuration > Ajout/suppression de programme >
Ajouter ou supprimer des composants Windows.
- Choisissez Service de certificats. Cliquez sur suivant.
- Cliquez sur suivant trois fois (laissez les réglages par défaut), entrez
le nom de la machine faisant office d’autorité de certifications, puis
suivant jusqu’à la fin de l’assistant.
- Si vous n’aviez pas configuré l’utilisation d’ASP avec IIS, il vous
faudra le faire lorsque cela vous sera demandé (cf : installation de IIS).
- Patientez pendant l’installation, puis, à la fin de celle-ci, assurez
vous que vous disposez de l’outil « Autorité de certifications » dans les
outils d’administrations.
- Fermez la fenêtre d’ajout suppression des programmes puis celle du
panneau de configuration.
- Vous disposez dorénavant d’une autorité de certifications.
4 - Création du site Internet : dossier Web
La création d'un dossier Web passe avant tout par la création d'un site Web
classique sous IIS.
- Créer la partition (ou le dossier) à partager (il faut que le format
soit du NTFS).
- Allez dans le Gestionnaire de services IIS.
- Clic droit sur sites web > nouveau site > suivant > description : WebDAV
> suivant > entête hôte pour ce site web (par exemple : webdav.domaine.lan)
> suivant.
- Indiquer votre chemin d’accès, désactiver les connections anonymes >
suivant > cocher les cases lecture/écriture/parcourir.
Le site est installé. Néanmoins, celui-ci n'est pas configuré pour utiliser
le cryptage SSL.
5 - Mise en place du cryptage SSL
Si vous ne désirez pas cryptez les données, vous pouvez aller à l'étape 6.
Le cryptage SSL utilise le protocole HTTPS, assurez vous d'ouvrir le port
correspondant (443) dans le pare-feu de votre serveur. La mise en place du
cryptage SSL se fait directement depuis IIS après avoir installer l'autorité de
certification (étape 3).
- Allez dans le gestionnaire de services IIS.
- Clic gauche sur sites web > clic droit sur le site WebDAV > propriétés >
onglet Sécurité du repertoire.
- Choisir "Certificat de serveur"
- Dans l'assistant : suivant > "Créer un certificat" > suivant > Envoyer
immediatement la demande à une autorité de certification en ligne > suivant
> nom du certificat : webdav (nom du site) > suivant > saisir les
informations d'organisation (Exemple : Labo-Microsoft, Equipe Web)
- suivant > saisir le nom commun (Par exemple :
webdav.labo-microsoft.com) > suivant > saisir les informations sur
l'organisation juqu'à la fin de l'assistant.
- Une fois l'assistant terminé, verifiez celui-ci en cliquant sur
"Afficher le certificat" > OK
- Cliquez sur "Modifier" > Cochez "Requérir un canal sécurisé (SSL)" >
Puis "Exiger le cryptage 128 bits"
La connexion SSL est mise en place, il n'est plus possible de se connecter au
site autrement qu'avec le protocole HTTPs.
6 - Configuration des autorisations d'accès
Lors de l'installation du site, les connexions anonymes ont été désactivées.
Néanmoins, celle-ci peuvent être rétablies si vous désirez laisser l'accès
anonymes (intranet).
La gestion des connexions se fait via le gestionnaire de service IIS, dans
les propriétés du site pour ce qui est de la gestion du type de connexions, et
dans autorisations pour la gestion des droits (clic droit sur le site >
Autorisations).
Gestion des connexions :
- Lancer le gestionnaire de service IIS
- Propriétés du site WebDAV > Onglet : Sécurité du repertoire
- Choisir de modifier "Authentification et contrôle d'accès"
- On peut, si nécessaire réactiver les connexions anonymes, dans le cas
contraire, on peut choisir le type d'authentification que l'on souhaite
mettre en place (Cf : Annexe en fin d'article).
- Valider les eventuelles modifications
Gestion des droits
- Clic droit sur le site WebDAV puis Autorisations
- cliquer sur ajouter > taper WebDAV (ou ici : partage) > faire ok
- Pour WebDAV (ou ici : partage), configurer l’autorisation NTFS suivante
: modifier.
7 - Informations complémentaires
Le dossier Web est maintenant configuré de façon à :
- Refuser les connexions anonymes.
- Utiliser le protocole HTTPs (SSL) avec un certificat
- Autoriser seulement le groupe d'utlisateur : partage
Pour accéder au site sous la forme d'un dossier, sous Internet Explorer,
choisir Fichier > Ouvrir, puis taper l'URL du site (exemple :
https://webdav.labo-microsoft.com et cocher "Ouvrir en tant que dossier Web".Le
site va alors s'ouvrir sous la forme d'un dossier (similaire aux FTPs) ou
l'écriture et la lecture seront défini en fonction des droits de l'utilisateur.
A noter que le dossier Web est par la suite disponible dans les favoris réseau.
Sous firefox, il est nécessaire de
télécharger un plug-in.
Il peut être nécessaire de démarrer le service "Webclient" (cas sous Windows
2003 server) pour permettre l'accès aux dossiers Web
Au point de vue de la sécurité, il n'est pas possible sous IIS d'appliquer le
composant WebDAV à un seul site. Il est donc important, dans l'hypothèse d'un
hebergement de plusieurs sites, de veiller à la configuration des droits d'accès
et des types d'authentifications utilisés afin que les autorisations soient les
plus restrictives possibles.
Conclusion
Les dossiers Web offrent une bonne alternative aux serveurs FTP sous IIS.
Leur facilité de mise en place ainsi que la mutliplicité des options (anonyme ou
non, crypté ou non,...) font de ces dossiers Web une alternative intéressante,
d'autant plus que cela peut-être se reveler intéressant pour le travail
collaboratif (supporté par Office 2000 & 2003, dreamweaver, visual studio ...).
Annexe : types d'authentification sous IIS
Trois types d’authentification sont implémentables dans ce cas de figure sous
IIS 6.0 :
- Authentification Windows intégrée : récupération des informations
d’ouverture de sessions pour l’identification sur le site (valable si chaque
utilisateur consulte le site depuis un ordinateur appartenant au domaine et
sur lequel il s’est identifié avec ses paramètres personnels lors de
l’ouverture de session), si l’utilisateur ne dispose pas de paramètres
valides ou si son ordinateur n’est pas client du domaine, une boîte de
dialogue apparaît demandant de saisir les informations d’un compte valide…
- Authentification Digest pour les serveurs de domaine Windows 2000 & 2003
: une boîte de dialogue apparaît demandant à l’utilisateur de saisir son
login et mot de passe du domaine pour se connecter au site Internet. Par
commodité, l’utilisateur peut enregistrer son nom d’utilisateur et mot de
passe sous sa session pour permettre un accès rapide au site. Ce type
d’authentification n’est possible que sur des serveurs de domaine Windows et
n’est pas compatible avec tous les navigateur (fonctionnalités de HTTP
1.1)(compatible avec Internet explorer, firefox,…).
- Authentification de base : ATTENTION : NE PAS UTILISER SAUF SI UTILISE
CONJOINTEMENT AVEC SSL. En effet, le mot de passe est transmis en clair sur
le réseau (risque de capture de trame).
 |
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Mise en place de dossier Web avec IIS 6.0 (WebDAV)
