Iis7.0: Настройка безопасности веб-сервера

Настройка IIS под 1С

Добавление пользователя IUSR в группу IIS_IUSRS

Для настройки прав доступа необходимо добавить пользователя IUSR в группу IIS_IUSRS, иначе при попытке публикации 1С на сервер Вы будете получать ошибку

Запускаем оснастку управление компьютером Win+R -> или через меню пуск:

В оснастке выбираем: Локальные пользователи и групп -> Группы -> IIS_IUSRS открываем свойства группы двойным щелчком ЛКМ

В эту группу нам необходимо добавить пользователя IUSR, для того чтобы предоставить необходимые права доступа, для этого жмем кнопку Добавить

Набираем имя пользователя IUSR и нажимаем кнопку Проверить имена, если пользователь будет найден, то он станет подчеркнутым, нажимаем ОК. Если пользователь не находится нажмите кнопку Размещение… и смените место поиска.

Проверяем, что наш пользователь появился и жмем ОК

Настройка сайта и приложения в IIS

Запускаем Диспетчер служб IIS удобным для Вас способом, например: Win+R -> InetMgr

В левой части экрана раскрываем ветку с сайтами. Останавливаем сайт по умолчанию Default Web Site или модифицируем его, я предпочитаю делать отдельный.

Жмем ПКМ на сайты и выбираем пункт Добавить веб-сайт

Заполняем параметры сайта

Имя сайта: ЛюбоеФизический путь: Создаем каталог где будет храниться наш сайт (файлы сайта)Тип: Выбираем протокол HTTP или HTTPSПорт: Задаем порт, порт может быть любой свободный. Стандартный порт для HTTP — 80, для HTTPS 443Сертификаты SSL: Сертификаты нужны если Вы используете защищенный протокол HTTPS. Если у Вас нет сертификата для Вашего узла, можно использовать серверный самоподписанный IIS Express Development Certificate.

Проверяем, что наш сайт появился и запустился

Вместе с сайтом так же должен был создаться пул приложений с таким же выше по ветке в раздел Пулы и приложений и находим наше приложение, в данном случае 1с

Выбираем наш пул приложений 1с и нажимаем в правой части Дополнительные параметры…

В Дополнительных параметрах находим строки:Версия среды .NET Framework — выбираем версию v.4.0+Разрешены 32-разрядные приложения и выбираем значение TrueВнимание! Если Вы будете публиковать x64 битную платформу 1С данное значение оставляем False,иначе будете получать ошибку 0x800700c1(Эта проблема возникает из-за неверного сопоставление сценариев. Убедитесь в том, что сопоставление сценария указывает на ISAPI DLL-файл, который может обработать запрос. Чтобы сделать это, выполните следующие действия.)Режим управляемого конвейера — выбираем значение Classic

Настройка доступа для группы IIS_IUSRS

Настройка необходимого доступа для группы IIS_IUSRS, для корректной работы нашего сайта (1с) и корректной публикации.

Для начала необходимо дать права группе IIS_IUSRS к каталогу в котором находятся (будут находиться) файлы нашего сайта. В нашем примере файлы сайта находятся в C:\inetpub\www\1c.Переходим в каталог C:\inetpub\www\ -> нажимаем ПКМ на каталоге 1с -> в меню выбираем пункт Свойства -> переходим на вкладку Безопасность -> жмем кнопку Изменить… -> кнопку Добавить… -> в поле вписываем название группы IIS_IUSRS (при необходимости меняем место Размещения) -> нажимаем кнопку Проверить имена.

Если группа найдена она станет подчеркнутой, жмем ОК.

Далее проставляем галочки необходимых прав:

— Чтение и выполнение— Список содержимого папки— Чтение

Тоже самое с правами, мы делаем для каталога куда установлена 1с и каталога куда развернута наша файловая база. Если Вы используете базу SQL, то Вам НЕ нужно задавать права на каталог с внимание, что для каталога с базой так же нужны права на запись!

Расположение файловой базы Вы можете посмотреть запустив 1С Предприятие

Публикация 1с

Запускаем 1с Предприятие -> Конфигуратор -> Администрирование -> Публикация на веб-сервере…

Выбираем каталог где будут файлы сайта и жмем Опубликовать

Для запуска клиента открываем браузер и переходим по ссылке в зависимости от конфигурации Вашего сайта на IIS, в нашем случае http://localhost если проверять подключение локально на проверять с другого ПК то http://имя_сервера или http://ip_сервера

Iis 0: Настройка проверки подлинности в iis 0

IIS 7.0: Настройка проверки подлинности в IIS 7.0

************

0. Уровень веб-сервера.

Папка "Ограничения ISAPIиCGI. Должно стоять «Разрешено» для следующих типов расширений:

Active Server Pages (%windir%\System32\inetsrv\;

(%windir%\\Framework\\aspnet_);

WebDAV (%windir%\System32\inetsrv\);

Папка «Проверка подлинности».Должна быть включена «Анонимная проверка подлинности». По щелчку правой кнопки выбрать «Изменить». Выбрать «Указанный пользователь» и «Установка». Ввести имя учетной записи с правами администратора, пароль и подтверждение пароля.

1. Уровень: сайты. Сделать клик для проверки состояния веб сервера

*работает или не работает;

*тип привязки (порт, протокол);

*путь к физическому каталогу (C:\Programfiles\inagent).

2. Уровень DefaultWebSite. На странице просмотр возможностей двойным щелчком открыть папку «Модули» и проверить наличие следующих модулей обычного кода, обрабатывающих запросы к веб-серверу:

*CgiModule (%windir%\System32\inetsrv\);

*FastCgiModule (%windir%\System32\inetsrv\);

*IsapiModule (%windir%\System32\inetsrv\);

***********

Проверка подлинности способствует подтверждению удостоверений клиентов, которые запрашивают доступ к узлам и приложениям. Службы IIS 7 по умолчанию поддерживают анонимную проверку подлинности и встроенную проверку подлинности Windows.

Службы IIS 7 поддерживают и метод проверки подлинности на основе вызовов, и метод проверки подлинностина основе перенаправления входа. Метод проверки подлинности на основе вызовов (например, встроенная проверка подлинности Windows) нуждается в правильном ответе клиента на вызов со стороны сервера. Метод проверки подлинности на основе перенаправления входа (например, проверка подлинности с помощью форм) полагается при определении удостоверения пользователя на страницу входа. Невозможно использовать оба этих метода одновременно.

IIS 7 также поддерживают проверку подлинности сертификата клиента, что требует настройки протокола SSL для узла. Дополнительные сведения о сертификатах клиента см. в разделе IIS 7.0: Настройка сертификатов сервера в IIS 7.0.

Сведения об уровнях, на которых можно выполнить эти процедуры, а также о модулях, обработчиках и разрешениях, требуемых для выполнения этих процедур, см. в разделе IIS 7.0: Требования к функциям проверки подлинности.

Настройка проверки подлинности в IIS 7.0 состоит из следующих процедур:

IIS 7.0: Настройка удостоверения анонимной проверки подлинности

IIS 7.0: Настройка проверки подлинности с использованием олицетворения

IIS 7.0: Настройка обычной проверки подлинности

IIS 7.0: Настройка подлинности с сопоставлением сертификата клиента

IIS 7.0: Настройка дайджест-проверки подлинности

IIS 7.0: Настройка проверки подлинности с помощью форм

IIS 7.0: Настройка проверки подлинности Windows

IIS 7.0: Настройка правил адресов IPv4 и имен доменов

IIS 7.0: Настройка правил авторизации URL-адресов в IIS 7.0

IIS 7.0: Настройка сертификатов сервера в IIS 7.0

IIS 7.0: Настройка ограничений для ISAPI и CGI в IIS 7.0

IIS 7.0: Настройка протокола SSL в службах IIS 7.0

IIS 7.0: Настройка фильтрации запросов

IIS 7.0: Настройка общей конфигурации

Создание сессии (сеанса) в PHP

Для того, чтобы начать сеанс (запустить сессию), необходимо вызвать функцию session_start (). Данную функцию нужно запускать вначале каждой страницы, на которой мы хотим в дальнейшем прочитать данные из сессии.

При каждом вызове session_start () PHP сам отправляет куку в браузер пользователя.

// Синтаксис session_start ([ array $options = array() ] ) : bool // Пример session_start ();

С помощью аргументов (ассоциативный масс $options) можно переопределить текущие директивы конфигурации сессий, которые указаны в Список всех директив: здесь

Конфигурирование

Идем в управление компьютером (правой кнопкой мыши по значку «Компьютер» -> Управление), далее «Службы и приложения» -> «Диспетчер служб IIS» или счастливые обладатели Windows 7 могут пойти по другому «Пуск» и в поле «Найти программы и файлы» ввести «IIS» и в списке отобразится заветная «Диспетчер служб IIS»

Идем в сайты. Сайт по умолчанию я удалил сразу, решив что он мне не нужен и для наглядности я создам новый .

Правой кнопкой мыши по «сайтам» -> «Добавить web сайт»

и создаем наш первый сайт

Обратите внимание «localhost» был выбран не случайно. Так как именно эта директива является «по умолчанию» имеет локальный адрес 127.0.0.1 и имя прописанное в файле hosts lcalhost. подробнее советую почитать на википедии localhost437 и hosts310

В папке указанной как «физический путь», находятся файлы нашего сайта, которые были положены IIS в качестве демонстрационного примера 2 файла это и

После чего нажимаем «Ок».

Уже можно запустить браузер и перейти по адресу http://localhost/ и мы увидим приветствие ISS.

ISS Установлен и настроен!

Если Вы хотите чтобы ваш сайт откликался локально на другое имя, то вместо «localhost» нужно указать свое имя и завести его на DNS сервере или в файле hosts.Используемые источники:

• _it/2012/05/
• -iis-8-v-windows-server-2012/
• -iis-na-windows-7

Понимание того, как именам (именам хостов) присваиваются IP-адреса

Именам хостов присваиваются IP-адреса в DNS (Сервере доменных имен), но до проверки DNS серверов идёт обращение к данным на локальной машине, которые хранятся в файле хостов и, если находится необходимый адрес, то он используется вместо адреса из DNS. В локальной сети Вашего ИТ-отдела может быть установлен локальный сервер DNS для присвоения именам компьютеров в локальной сети IP-адресов. В Интернете есть множество DNS-серверов и, как правило, провайдер, которым Вы пользуетесь для подключения к Интернету, предоставляет DNS-сервер(ы) для Вас при указании IP-адреса. Эти DNS сервера в сочетании с другими серверами DNS из Интернета перенаправляют с имен хостов на IP-адреса, чтобы Ваш компьютер мог подключаться к ним.

Но, как упоминалось выше, до проверки серверов DNS ваша машина заглянет в файл хостов для проверки наличия имени хоста.

В Windows файл хостов расположен в папке «C:\Windows\system32\drivers\etc»

файл «hosts» не имеет расширения файла, но это просто текстовый файл. Чтобы изменить его нужно щелкнуть правой кнопкой на блокноте и выбрать «Запуск от имени администратора», затем перейти по адресу «C:\Windows\system32\drivers\etc»

Чтобы просмотреть все файлы, а не только TXT, необходимо изменить расширение файла в блокноте как показано здесь:

Затем Вы можете добавить свои собственные имена хостов, и присвоить им адрес, замкнутый на себя — 127.0.0.1

Вы можете видеть как именно работает имя хоста «localhost». Оно прописывается в Вашем файле хостов.

Можно добавить любое имя хоста и связать его с ip адресом, просто поместив их в одну строку. Например:

127.0.0.1 mojotest1

Ip адрес 127.0.0.1 это специальный ip, который есть на каждом компьютере. Его также называют «внутренняя петля» (loopback address). Для любого компьютера этот адрес указывает сам на себя. Внутренняя петля даже не нуждается в наличии сетевой платы. «localhost» всегда указывает на внутреннюю петлю. В приведённом выше примере мы просто добавили дополнительное имя хоста для внутренней петли. Если у Вашей сетевой карты имеется фиксированый IP адрес, то Вы легко можете связать его с именем хоста вместо 127.0.0.1. Пусть Ваша карта имеет ip адрес , тогда следует внести следующую запись:

mojotest1

Установка веб-сервера Apache и публикация на нем информационной базы 1С:CRM

Установка веб-сервера Apache

Веб-сервер Apache — это служба, которая работает в фоне и у которой нет графического интерфейса. Т.е. данная служба устанавливается и запускается путем выполнения команд в командной строке. Чтобы установить веб-сервер, необходимо выполнить следующие действия:

1. Скачать с сайта актуальный дистрибутив вебсервера.

2. Распаковать файл дистрибутива веб-сервера и перенести папку «Apache24» в корень диска «C:\».

3. Запустить приложение Пуск → Командная строка (приложение должно быть запущено от имени администратора).

4. Выполнить в приложении Командная строка команду «c:\Apache24\bin\ -k install». Данная команда установит службу Apache.

5. Убедиться, что служба Apache установлена. Для этого нужно открыть список служб Панель управления → Система и безопасность → Администрирование → Службы и убедиться, что служба Apache2.4 установлена и запущена и для нее установлен тип запуска «Автоматически». Если служба установлена, но не запущена, тогда ее нужно запустить.

Проверка корректности установки службы Apache2.4

6. Установить модуль расширения веб-сервера. Для этого нужно:

• Открыть список установленных программ и компонентов Панель управления → Программы → Программы и компоненты.
• Выполнить команду Изменить для установленной программы «1С:Предприятие 8» и перейти в режим изменения установленных компонент.

Выбор режима изменения состава установленных компонент программы 1С:Предприятие

• Выбрать компоненту Модуль расширения веб-сервера и выполнить команду Далее.

Установка компоненты Модуль расширения веб-сервера

Важно! После установки новой версии платформы 1С:Предприятие необходимо в файле настроек веб-сервера «c:\Program Files\Apache Software Foundation\Apache2.4\conf\» изменить путь к файлу и перезагрузить службу веб-сервера.

Публикация информационной базы 1С:CRM на веб-сервере Apache

Для того чтобы пользователи могли работать в 1С:CRM удаленно через браузер или тонкий клиент 1С необходимо выполнить публикацию информационной базы 1С:CRM на веб-сервере. Для этого необходимо выполнить следующие действия:

1. Выполнить публикацию информационной базы на веб-сервере. Для этого нужно:

• Открыть 1С:CRM в режиме «Конфигуратор» на компьютере, где установлен веб-сервер.
• Открыть форму публикации. Для этого нужно выполнить команду Администрирование → Публикация на веб-сервере.

Форма публикации на веб-сервере

• На форме публикации нужно выбрать вид веб-сервера «Apache2_2» и выполнить команду Опубликовать.

2. Для проверки корректности публикации информационной базы на веб-сервере необходимо в любом браузере выполнить переход по адресу http://localhost/InfoBase/ru_RU/, где «InfoBase» имя публикации информационной базы. Если публикация выполнена успешно, будет выполнен вход в опубликованную информационную базу.

Проверка корректности публикации информационной базы на веб-сервере