در وب سرور ها معمولا وب سایت های بسیاری با تنوع سازمان، نرم افزار، پرتال، خدمات و سایت های اخبار و اطلاع رسانی وجود دارد که تمام آن ها نیاز به پشتیبانی دارد اما نحوه ی دسترسی دادن به شرکت های پشتیبانی که فقط بتوانند بر روی وب سایت خود دسترسی داشته باشند یک دغدغه می باشد.
در روش ارایه شده می توان IIS8 را به منظور پیکر بندی این ساختار تنظیم کرد.
تعریف permission در IIS و نحوه ریموت به آن از سرور واسط:
همانطور که می دانید، بصورت پیشفرض نمی توانید از روی شبکه و توسط کامپیوتر دیگری به کنسول مدیریتی IIS متصل شده و بایستی فقط بصورت local وارد کنسول شد. حال برای اینکه بتوانید از طریق remote به کنسول دسترسی داشته باشید، باید این قابلیت را فعال کنید. برای اینکار، ابتدا server manager (روی خود وب سرور) را اجرا کرده و روی web server راست کلیک کرده و Add Role Services را بزنید.
حال در صفحه Select Role Services، به قسمت Management Tools رفته و گزینه Management Services را انتخاب کرده و Next کنید. سپس در صفحه بعد، Install را بزنید تا نصب گردد.
Management Service از پروتکل HTTP و یا HTTPS استفاده کرده و بصورت پیشفرض، با پورت 8172 ارتباط برقرار می کنند. دقت کنید که این پورت، روی Firewall مسدود نباشد، که در اینصورت ادمین ها می توانند از طریق اینترنت و یا شبکه LAN، به وب سرور دسترسی پیدا کرده و IIS را مدیریت کنند.
پس از اینکه این role را نصب کردید، می توانید از IIS Manager گزینه remote management را فعال کنید. برای اینکار، IIS Manager را اجرا کرده و از ستون سمت چپ وب سرور مورد نظر را انتخاب کنید. پس از انتخاب، گزینه های مدیریتی آن در ستون وسط، قابل مشاهده خواهد بود. گزینه Management Services را انتخاب و دابل کلیک کنید.همانطور که در شکل میبینید، گزینه Enable Remote Connections تیک نخورده و غیرفعال است. برای اینکه بتوان به سرورIIS، بصورت remote دسترسی پیدا کرد، بایستی این گزینه را تیک زد. قسمت Identity Credentials تعیین می کند که چه کاربرانی می توانند به سرور دسترسی داشته باشند. گزینه Windows credentials only فقط به کاربرانی اجازه دسترسی می دهد که Windows credentials (یوزر و پسوردی که در ویندوز تعریف شده است) دارند و گزینهWindows credential or IIS Manager credential به کاربرانی اجازه می دهد که نام کاربری و پسوردی در خود ویندوز و یا IIS دارند.
در قسمت Connections می توانید مشخص کنید که management service روی کدام IP و port پاسخگو باشد. اگر وب سرورتان دارای چندین کارت شبکه و یا چندین IP است، می توانید با تعیین یک IP در این قسمت، دسترسی remote به وب سرور را محدود به همین IP کرده و امنیت آن را بالا ببرید.
در قسمت SSL Certificate می توانید برای ایجاد ارتباط ایمن، از یک Certificateکه بصورت local روی وب سرور نصب شده است، استفاده کنید.
در قسمت log request to می توانید مسیری را مشخص کرده تا log های remote آنجا ذخیره شوند. آدرس پیشفرض برای ذخیره سازی %SystemDrive%\Intepub\Logs\WMSvc است.
در قسمت IPv4 Address Restrictions نیز می توانید نوعی black list ایجاد کرده تا امنیت بالا رود. در این بخش، می توان روی گزینه Allow کلیک کرده و تمامی IP ها و یا محدوده ای از آنها که می توانند به وب سرور remote بزنند را مشخص کرد. گزینه Deny نیز مشخص می کند که کدامیک از این IP ها نمی توانند remote شوند.
توجه داشته باشید که چون سرویس WMSVC بصورت پیشفرض stop شده است، بایستی گزینه start را از ستون سمت راست بزنید تا IIS قابلیت remote را داشته باشد. دقت کنید که برای ایجاد تغییرات، سرویس را stop کنید.
ال بایستی تعیین کنید که هر کاربری چه میزان دسترسی دارد و چه تنظیماتی را می تواند انجام دهد. برخی اوقات، مدیر وبسایت بایستی دسترسی کامل داشته باشد ولی در بعضی مواقع، شما قصد دارید که برخی کاربران فقط به بعضی از وبسایت ها دسترسی داشته باشند که می توانید در سطح وبسایت و یا web applicationدسترسی تعریف کنید. دقت کنید که نمی توانید بطور مستقیم، دسترسی ها را در سطح سرور تعریف کنید.
– برای مدیریت permissions، وبسایت و یا web application مورد نظر را انتخاب و از قسمت Management، گزینه IIS Manager Permissions بزنید.
– بصورت پیشفرض، یوزر اکانت های جدیدی که در IIS Manager می سازید، اجازه دسترسی به وبسایت ها را ندارند. برای فعال سازی آنها، در قسمت IIS Manager Permissions از ستون سمت راست، روی گزینه Allow User کلیک کنید.
– در این قسمت شما می توانید تعیین کنید که از اکانت های ویندوزی (یوزرهای موجود در active directory) استفاده کنید و یا از اکانت های موجود در IIS. اگر از گزینه Windows استفاده کنید، می توانید به اکانت های موجود در دامین (active directory) اجازه دسترسی بدهید و اگر IIS Manager را تیک بزنید، برای اکانت های موجود در خود IIS دسترسی ایجاد خواهید کرد.
هنگامی که کاربران بصورت remote به وب سرور متصل شوند، فقط به وبسایت ها و web application های مجاز (که اجازه دسترسی دارند) دسترسی پیدا می کنند. با این کار، کاربری که شما در این لیست اضافه کردید، فقط می تواند به همین وبسایتی که انتخاب کرده اید دسترسی داشته باشد.
بعد از تعریف کاربران ریموت، دسترسی ها به تنظمات و پنل IIS به صورت پیش فرض دارای محدودیتهایی می باشد، برای مثال کاربران ریموت امکان تغییر نحوه Authentication , Autorization را ندارند و فقط Admin امکان این تغییرات را دارد، برای اعطای دسترسی جهت تغییر هر یک از موارد پنل مدیرت IIS از طریق زیر اقدام باید گردید.
ابتدا وب سرور را انتخاب و وارد فسمت feature delegation می شویم
در این ماژول، قسمتی که می خواهیم سایر کاربران امکان تغیر آن را داشته باشند انتخاب می کنیم و از coustomize می توان دسترسی را اصلاح نمود
نکته: در صورتیکه مقدار Delegation هر آیتم را تغییر دهیم، در این صورت این تغییر برای تمامی سایتها اعمال می شود، ولی اگر بخواهیم تنها امکان تغییر این آیتم برای یک سایت موجود باشد باید از پنل سمت چپ و گزینه custom site Delegation می توان این دسرسی را از روی سایت پیش فرض به سایتهای مورد نظر اعطا کرد