Iis7.0: Настройка безопасности веб-сервера

Установка

Первым делом идем в главное меню «Пуск» (Start) далее

Панель управления -> Программы -> Включение или отключение компонентов Windows.

Находим в списке «Службы IIS» и выбираем нужные компоненты

Где-то рекомендовалось следующее:

• Безопасность. Все компоненты кроме «Проверка подлинности с сопоставлением сертификата …».
• Компоненты разработки приложений. Для PHP нужна компонента CGI.
• Общие функции HTTP. Отмечаем все пункты.
• Проверка работоспособности и диагностика. Выбираем «Ведение журнала HTTP» и «Монитор запросов».
• Функции повышения быстродействия. Отмечаем все пункты.
• Средства управления веб-сайтом. Отмечаем только «Консоль управления IIS».

Лично я немного отступил от этого описания и добавил FTP, так как мне для моих нужд потребуется тестировать работу с FTP.

После того как были выбраны нужные пункты, нажимаем «Ок» и остается подождать когда установятся требующиеся нам компоненты. после чего можно перезагрузить машину. это ей не помешает для старта всех требующихся сервисов.

все. Можно сказать что наш ISS Сервер установлен. Перейдем к его начальному конфигурированию .

Настройка IIS под 1С

Добавление пользователя IUSR в группу IIS_IUSRS

Для настройки прав доступа необходимо добавить пользователя IUSR в группу IIS_IUSRS, иначе при попытке публикации 1С на сервер Вы будете получать ошибку

Запускаем оснастку управление компьютером Win+R -> или через меню пуск:

В оснастке выбираем: Локальные пользователи и групп -> Группы -> IIS_IUSRS открываем свойства группы двойным щелчком ЛКМ

В эту группу нам необходимо добавить пользователя IUSR, для того чтобы предоставить необходимые права доступа, для этого жмем кнопку Добавить

Набираем имя пользователя IUSR и нажимаем кнопку Проверить имена, если пользователь будет найден, то он станет подчеркнутым, нажимаем ОК. Если пользователь не находится нажмите кнопку Размещение… и смените место поиска.

Проверяем, что наш пользователь появился и жмем ОК

Настройка сайта и приложения в IIS

Запускаем Диспетчер служб IIS удобным для Вас способом, например: Win+R -> InetMgr

В левой части экрана раскрываем ветку с сайтами. Останавливаем сайт по умолчанию Default Web Site или модифицируем его, я предпочитаю делать отдельный.

Жмем ПКМ на сайты и выбираем пункт Добавить веб-сайт

Заполняем параметры сайта

Имя сайта: ЛюбоеФизический путь: Создаем каталог где будет храниться наш сайт (файлы сайта)Тип: Выбираем протокол HTTP или HTTPSПорт: Задаем порт, порт может быть любой свободный. Стандартный порт для HTTP — 80, для HTTPS 443Сертификаты SSL: Сертификаты нужны если Вы используете защищенный протокол HTTPS. Если у Вас нет сертификата для Вашего узла, можно использовать серверный самоподписанный IIS Express Development Certificate.

Проверяем, что наш сайт появился и запустился

Вместе с сайтом так же должен был создаться пул приложений с таким же выше по ветке в раздел Пулы и приложений и находим наше приложение, в данном случае 1с

Выбираем наш пул приложений 1с и нажимаем в правой части Дополнительные параметры…

В Дополнительных параметрах находим строки:Версия среды .NET Framework — выбираем версию v.4.0+Разрешены 32-разрядные приложения и выбираем значение TrueВнимание! Если Вы будете публиковать x64 битную платформу 1С данное значение оставляем False,иначе будете получать ошибку 0x800700c1(Эта проблема возникает из-за неверного сопоставление сценариев. Убедитесь в том, что сопоставление сценария указывает на ISAPI DLL-файл, который может обработать запрос. Чтобы сделать это, выполните следующие действия.)Режим управляемого конвейера — выбираем значение Classic

Настройка доступа для группы IIS_IUSRS

Настройка необходимого доступа для группы IIS_IUSRS, для корректной работы нашего сайта (1с) и корректной публикации.

Для начала необходимо дать права группе IIS_IUSRS к каталогу в котором находятся (будут находиться) файлы нашего сайта. В нашем примере файлы сайта находятся в C:\inetpub\www\1c.Переходим в каталог C:\inetpub\www\ -> нажимаем ПКМ на каталоге 1с -> в меню выбираем пункт Свойства -> переходим на вкладку Безопасность -> жмем кнопку Изменить… -> кнопку Добавить… -> в поле вписываем название группы IIS_IUSRS (при необходимости меняем место Размещения) -> нажимаем кнопку Проверить имена.

Если группа найдена она станет подчеркнутой, жмем ОК.

Далее проставляем галочки необходимых прав:

— Чтение и выполнение— Список содержимого папки— Чтение

Тоже самое с правами, мы делаем для каталога куда установлена 1с и каталога куда развернута наша файловая база. Если Вы используете базу SQL, то Вам НЕ нужно задавать права на каталог с внимание, что для каталога с базой так же нужны права на запись!

Расположение файловой базы Вы можете посмотреть запустив 1С Предприятие

Публикация 1с

Запускаем 1с Предприятие -> Конфигуратор -> Администрирование -> Публикация на веб-сервере…

Выбираем каталог где будут файлы сайта и жмем Опубликовать

Для запуска клиента открываем браузер и переходим по ссылке в зависимости от конфигурации Вашего сайта на IIS, в нашем случае http://localhost если проверять подключение локально на проверять с другого ПК то http://имя_сервера или http://ip_сервера

Iis 0: Настройка проверки подлинности в iis 0

IIS 7.0: Настройка проверки подлинности в IIS 7.0

************

0. Уровень веб-сервера.

Папка "Ограничения ISAPIиCGI. Должно стоять «Разрешено» для следующих типов расширений:

Active Server Pages (%windir%\System32\inetsrv\;

(%windir%\\Framework\\aspnet_);

WebDAV (%windir%\System32\inetsrv\);

Папка «Проверка подлинности».Должна быть включена «Анонимная проверка подлинности». По щелчку правой кнопки выбрать «Изменить». Выбрать «Указанный пользователь» и «Установка». Ввести имя учетной записи с правами администратора, пароль и подтверждение пароля.

1. Уровень: сайты. Сделать клик для проверки состояния веб сервера

*работает или не работает;

*тип привязки (порт, протокол);

*путь к физическому каталогу (C:\Programfiles\inagent).

2. Уровень DefaultWebSite. На странице просмотр возможностей двойным щелчком открыть папку «Модули» и проверить наличие следующих модулей обычного кода, обрабатывающих запросы к веб-серверу:

*CgiModule (%windir%\System32\inetsrv\);

*FastCgiModule (%windir%\System32\inetsrv\);

*IsapiModule (%windir%\System32\inetsrv\);

***********

Проверка подлинности способствует подтверждению удостоверений клиентов, которые запрашивают доступ к узлам и приложениям. Службы IIS 7 по умолчанию поддерживают анонимную проверку подлинности и встроенную проверку подлинности Windows.

Службы IIS 7 поддерживают и метод проверки подлинности на основе вызовов, и метод проверки подлинностина основе перенаправления входа. Метод проверки подлинности на основе вызовов (например, встроенная проверка подлинности Windows) нуждается в правильном ответе клиента на вызов со стороны сервера. Метод проверки подлинности на основе перенаправления входа (например, проверка подлинности с помощью форм) полагается при определении удостоверения пользователя на страницу входа. Невозможно использовать оба этих метода одновременно.

IIS 7 также поддерживают проверку подлинности сертификата клиента, что требует настройки протокола SSL для узла. Дополнительные сведения о сертификатах клиента см. в разделе IIS 7.0: Настройка сертификатов сервера в IIS 7.0.

Сведения об уровнях, на которых можно выполнить эти процедуры, а также о модулях, обработчиках и разрешениях, требуемых для выполнения этих процедур, см. в разделе IIS 7.0: Требования к функциям проверки подлинности.

Настройка проверки подлинности в IIS 7.0 состоит из следующих процедур:

IIS 7.0: Настройка удостоверения анонимной проверки подлинности

IIS 7.0: Настройка проверки подлинности с использованием олицетворения

IIS 7.0: Настройка обычной проверки подлинности

IIS 7.0: Настройка подлинности с сопоставлением сертификата клиента

IIS 7.0: Настройка дайджест-проверки подлинности

IIS 7.0: Настройка проверки подлинности с помощью форм

IIS 7.0: Настройка проверки подлинности Windows

IIS 7.0: Настройка правил адресов IPv4 и имен доменов

IIS 7.0: Настройка правил авторизации URL-адресов в IIS 7.0

IIS 7.0: Настройка сертификатов сервера в IIS 7.0

IIS 7.0: Настройка ограничений для ISAPI и CGI в IIS 7.0

IIS 7.0: Настройка протокола SSL в службах IIS 7.0

IIS 7.0: Настройка фильтрации запросов

IIS 7.0: Настройка общей конфигурации

Установка веб-сервера Apache и публикация на нем информационной базы 1С:CRM

Установка веб-сервера Apache

Веб-сервер Apache — это служба, которая работает в фоне и у которой нет графического интерфейса. Т.е. данная служба устанавливается и запускается путем выполнения команд в командной строке. Чтобы установить веб-сервер, необходимо выполнить следующие действия:

1. Скачать с сайта актуальный дистрибутив вебсервера.

2. Распаковать файл дистрибутива веб-сервера и перенести папку «Apache24» в корень диска «C:\».

3. Запустить приложение Пуск → Командная строка (приложение должно быть запущено от имени администратора).

4. Выполнить в приложении Командная строка команду «c:\Apache24\bin\ -k install». Данная команда установит службу Apache.

5. Убедиться, что служба Apache установлена. Для этого нужно открыть список служб Панель управления → Система и безопасность → Администрирование → Службы и убедиться, что служба Apache2.4 установлена и запущена и для нее установлен тип запуска «Автоматически». Если служба установлена, но не запущена, тогда ее нужно запустить.

Проверка корректности установки службы Apache2.4

6. Установить модуль расширения веб-сервера. Для этого нужно:

• Открыть список установленных программ и компонентов Панель управления → Программы → Программы и компоненты.
• Выполнить команду Изменить для установленной программы «1С:Предприятие 8» и перейти в режим изменения установленных компонент.

Выбор режима изменения состава установленных компонент программы 1С:Предприятие

• Выбрать компоненту Модуль расширения веб-сервера и выполнить команду Далее.

Установка компоненты Модуль расширения веб-сервера

Важно! После установки новой версии платформы 1С:Предприятие необходимо в файле настроек веб-сервера «c:\Program Files\Apache Software Foundation\Apache2.4\conf\» изменить путь к файлу и перезагрузить службу веб-сервера.

Публикация информационной базы 1С:CRM на веб-сервере Apache

Для того чтобы пользователи могли работать в 1С:CRM удаленно через браузер или тонкий клиент 1С необходимо выполнить публикацию информационной базы 1С:CRM на веб-сервере. Для этого необходимо выполнить следующие действия:

1. Выполнить публикацию информационной базы на веб-сервере. Для этого нужно:

• Открыть 1С:CRM в режиме «Конфигуратор» на компьютере, где установлен веб-сервер.
• Открыть форму публикации. Для этого нужно выполнить команду Администрирование → Публикация на веб-сервере.

Форма публикации на веб-сервере

• На форме публикации нужно выбрать вид веб-сервера «Apache2_2» и выполнить команду Опубликовать.

2. Для проверки корректности публикации информационной базы на веб-сервере необходимо в любом браузере выполнить переход по адресу http://localhost/InfoBase/ru_RU/, где «InfoBase» имя публикации информационной базы. Если публикация выполнена успешно, будет выполнен вход в опубликованную информационную базу.

Проверка корректности публикации информационной базы на веб-сервере

Что делает Узел по умолчанию (The Default Web Site) «Default»

В IIS можно установить столько корневых уровней, сколько необходимо. Каждому сайту можно присвоить любой ip адрес. Следовательно, любые имена хостов приписанные к этому ip адресу могут быть обработаны соответствующим IIS, привязанным к данному ip.

Однако, как уже говорилось, несколько имён хостов могут указывать на один ip адрес. Для запуска нескольких сайтов под разными именами хостов, ссылающимися на один ip адрес, у IIS есть специальная опция. На самом деле Вам даже не нужно указывать определённый ip. Достаточно просто оставить «All Unassigned» («Все неназначенные») и добавить имя хоста. После этого запрос к конкретному имени будет перенаправлен к правильной корневой папке (сайту). В IIS, при выборе конкретного сайта, в правом окне отобразиться ссылка «Привязка» («Bindings»), нажав на которую можно прописать имена хостов и ip адреса.

Заметим, что не обязательно для тестирования привязывать имена хостов к соответствующим доменам. Можно использовать простой вариант вида «mojotest1» или, если Вам больше нравится — "", "", "".

Что же такое «Узел по умолчанию» ("Default Web Site «Default»)? Это обычный узел, не имеющий никаких привязок к ip и к именам хостов. Т.е., при обращению к какому-либо не прописанному имени хоста, запрос будет переадресован на узел по умолчанию. Это единственное предназначение данного узла. В случае если Вы укажете ему конкретное имя хоста, то он перестанет быть узлом по умолчанию. В нём нет ничего особенного, кроме отсутствия указания на имя хоста и ip адрес, поэтому можно легко удалить его и создать заново. Причем его имя может быть произвольным, т.к. для IIS не имеет значения, как называется узел по умолчанию.

Для добавления нового сайта в IIS? необходимо указать уникальный ip адрес или имя хоста. Если Вы попытаетесь создать сайт без уникальных ip или имени, то у Вас получится второй узел по умолчанию, который не запустится или нарушит работу первого. С этим сталкиваются новички, которые не могут добавить новый сайт (по причине указанной выше) и идут по пути наименьшего сопротивления, просто присваивая веб сайту по умолчанию различные имена доменов и перенаправляя их на соответствующие виртуальные папки. Но это не отдельные сайты, а, всего лишь, папки в корневой директории.

Поэтому при добавлении нового сайта необходимо прописывать имя хоста, которое ведёт на конкретный сайт, а не на узел по умолчанию.

Также смотрите

• Видео о размещении нескольких сайтов с разными именами хостов (на английском)
• Видео установки в IIS 7.5 с MS SQL (на английском)
• Установка mojoPortal при помощи Web Platform Installer

Оригинал на английском

Завершение (очистка) сессии

Так как сессии часто используются для авторизации пользователей, то нужно иметь механизм «выхода» из системы. Для того, чтобы завершить сессию нам нужно:

• Очистить массив $_SESSION
• Удалить временное хранилище (файл сессии) на сервере
• Удалить сессионную куку (cookie).

// Очистить массив $_SESSION полностью session_unset (); // Удалить сессионную переменную unset ($_SESSION['age']); // Удалить временное хранилище (файл сессии) на сервере session_destroy (); // Принудительное удаление сессионной cookie setcookie (session_name (), session_id (), time () -3600);

• session_id () — уникальный идентификатор сессии
• session_name () — значение идентификатора сессии