html - 保护纯 HTML 站点的技术

Question

我的任务是为某人保护一个纯 HTML 网站，但我不太确定如何解决这个问题。以下是限制条件:

1. 所有登录名都必须链接到我们当前的 Active Directory 域。
2. (可选，但需要)该解决方案必须将来 self 们内部网内部的请求列入白名单 - 也就是说，如果有人试图从校园访问该网站，他们将立即被允许进入。
3. (可选，但需要)解决方案必须将来 self 们中心网站的请求列入白名单，无论它们是否在校园内。所述中心站点通过引用我们的 Active Directory 域的登录名进行保护，因此这本质上是一个直通请求。

我们的绝大多数用户群都非常非技术人员，因此占用空间小且登录请求很少是必要的。

通常情况下，我对此没有问题，但这是一个纯 HTML 网站，所以我的选择有点受限。我目前的想法:

1. 使用 IIS6 的目录安全性来简单地强制执行 Active Directory 身份验证。我不能使用 IP 允许/拒绝，因为该检查先于生命周期中的任何其他内容进行，并迅速拒绝拒绝列表中的任何内容。我无法改变这种行为。
2. 编写驻留在我们的中心网站上的 aspx 文件，为用户预加载集成的 Windows 安全凭证，自动对 HTML 网站进行身份验证。然而，就 IIS 而言，这是两个不同的网站，这充其量听起来像是一种糟糕的做法，而在最坏的情况下则是对跨站点入侵尝试的模仿。

我不得不承认我被困住了。以前有人处理过这样的问题吗？

Answer 1

假设您使用的是 Windows2003/IIS6，并且您的 Web 服务器是您域的一部分，您可以执行以下操作:

1. 将您的网站配置为使用集成和/或基本身份验证来针对 Active Directory 进行身份验证。同时禁用匿名访问。您可以通过在 IIS 管理器中单击您网站的“目录安全”选项卡中的“编辑”来找到这些设置。如果您的用户将使用 Internet Explorer 以外的浏览器，您只需要启用 Basic。如果您使用 Basic，您还应该使用 SSL 来保护您的用户名和密码。访问级别由您网站根目录/子目录中文件/目录的权限设置决定。这些目录中的任何文件都将只提供给经过身份验证的用户。

2. 要允许您域中的用户在没有提示的情况下登录，您需要将 Internet Explorer 配置为自动登录到您的 Intranet 中的站点。您还需要在 IIS 中为您的网站启用集成身份验证。

3. 我不确定第 3 项中的要求是否会得到满足。如果您的中心网站使用模拟，它可能将您的 Windows 凭据传递到您域中的另一台服务器，但我怀疑不会。

引用资料:

“如何在 Windows Server 2003 中配置 IIS 网站身份验证” http://support.microsoft.com/kb/324274/

“Internet Explorer 可能会提示您输入密码” http://support.microsoft.com/kb/258063

“如何在 Internet Explorer 中使用安全区域” http://support.microsoft.com/kb/174360/EN-US/