使用 IIS/Active Directory 控制对网站的访问答案

【问题标题】：Controlling access to a website with IIS/Active Directory使用 IIS/Active Directory 控制对网站的访问
【发布时间】：2010-10-29 09:57:08
【问题描述】：

我需要在我们的网络上保护一个面向世界的旧版帮助站点。理想情况下，我希望人们使用他们的活动目录登录进行身份验证，因为公司中的每个人都已经在那里，而且他们已经知道这些东西。理想情况下，我需要设置默认域，这样人们就不必输入了。

我有一个示例来模拟我的解决方案，但称其为怪异有点轻描淡写。匿名访问已启用，经过身份验证的访问仅限于集成 Windows 身份验证和基本身份验证，没有设置初始域或领域。网站中的 web.config 文件的身份验证字段中只有这个：

<authentication mode="Windows" /> <authorization> <deny users="?" />  </authorization>

当然，我要保护的网站是纯 HTML，所以我什至不确定 web.config 文件是否可以正常工作。有没有一种优雅、可持续的方式来解决这个问题？不幸的是，我在 Google 上找不到很多东西。

【问题讨论】：

标签： security web active-directory iis-6

【解决方案1】：

在 IIS 中启用匿名身份验证并启用集成 Windows 身份验证。这将在 asp.net 之外工作。如果是纯 html，则不会使用 web.config。

【讨论】：

有没有办法将此与允许/拒绝通过 IP 访问相结合？我使用允许/拒绝来限制所有外部 IP，同时将我们的内部 IP 列入白名单......但它的解决方法是，如果它没有被列入白名单，客户端只会得到 403。我只想给用户如果他们在校外，就有机会进行身份验证。
您可以组合使用它们，但这是最受限制的。如果您打开 Windows 身份验证，那么您可以停止将地址列入白名单并让身份验证将不需要的访问者拒之门外，当然他们会看到拒绝访问屏幕。然后校园外的任何人仍然可以进行身份验证。
我不确定我是否清楚。我想设置它，以便我们校园中的任何人都可以通过匿名用户立即访问，而无需进行身份验证。校外的任何人都必须进行身份验证。现在，如果我设置 IP 地址/域名限制，任何设置为被拒绝的人都会被拒绝，没有机会进行身份验证。我知道这似乎是多余的，但这个网站是为一些非常非技术人员准备的，所以占用空间小很重要。
必须有一些聪明的方法来设置它，但我不确定它是什么，IIS 在表面上有点受限，必须深入研究。您可能需要转向代码方面。根据我的经验，你必须为用户做的越简单，对开发人员来说就越复杂。它是一个大的 html 应用程序，也许将它们重命名为 .aspx 并将其变成一个 asp.net 应用程序，以便您可以使用您的 web.config。