Управление сайтами под&nb p;Micro oft IIS

В большинстве публикаций, посвященных веб-дизайну, хостингу и управлению сайтами, основное внимание уделяется Apache — системе, под которой весьма неплохо «живут» тысячи и тысячи сайтов. Под эту систему создаются десятки систем управления контентом (CMS). Вероятно, не зря. По данным организации Netcraft, три четверти сайтов работает под управлением Apache. Но все же есть еще одна четверть, которая в качестве системы управления избрала в большинстве своем систему Microsoft IIS.

В случаях, когда Apache устанавливается под *nix-системы, такое использование кажется вполне закономерным. Но когда вместо «родной» системы IIS на операционную систему Windows устанавливается тот же Apache, возникает закономерный вопрос — почему? Удобнее. Понятно, что это далеко не полный и не единственный ответ. А вот можно ли IIS сделать удобным, сравнимым со своим конкурентом? Рассмотрим, какие для этого имеются возможности.

Одна из проблем администрирования сайта под IIS — сложность управления доступомВ чем заключается удобство? В это понятие можно вместить многое, и каждый из вас сможет дать ему собственное наполнение. Но, не рассматривая весь комплекс вопросов, остановимся на одном — управление доступом и разграничение прав. Для того чтобы решать эти вопросы в разрезе IIS, необходимо иметь права администратора на том компьютере, где IIS установлен. Учетные записи пользователей заносятся в единую базу данных пользователей этого компьютера (их можно объединить в группу или группы, но суть от этого не меняется). Далее средствами операционной системы нужно назначить права доступа пользователей или групп к различным разделам или файлам вашего сайта. Хорошо, если для всех пользователей требуются равные права. Но если каждый должен обладать своим собственным набором прав доступа, иметь различный набор файлов, с которыми он и только он может работать? Работа по назначению прав тяжким грузом ляжет на плечи системного администратора.

А в это время администратор веб-сайта, управляемого через Apache, независим от системного администратора, имеет возможность самостоятельно строить политику доступа пользователей к любым ресурсам сайта и управлять ими в пределах своих полномочий. Человек с правами администратора операционной системы для выполнения этих работ не требуется.

Какой можно сделать вывод? Надо упростить работу по управлению политиками доступа к разделам сайта и пользователями. Управление под IIS должно быть не более сложным, чем при использовании Apache. При отсутствии системных решений остается рассчитывать на сторонние разработки. И они есть. Одна из них — программа iisProtect компании Corporate Web Solutions Ltd.

Этот продукт включает в себя высокоэффективный ISAPI-фильтр, управляющий аутентификацией, и ASP-компонент для администрирования приложений. Для работы с этой программой не требуется никаких особых знаний в области программирования, создания сайтов или написания скриптов. При этом через веб-интерфейс обеспечивается управление доступом и контроль над всеми необходимыми настройками.

Внешние программы берут на себя функции защиты контентаiisProtect обеспечивает basic-аутентификацию, поддерживаемую всеми браузерами, а также аутентификацию, основанную на использовании cookies. Программа обеспечивает защиту файлов любого типа, включая графические, архивные, текстовые файлы, динамические и статические страницы, базы данных. С помощью программы можно защищать как отдельные файлы, так и целые разделы с поддиректориями. Для учетных записей пользователей могут быть установлены ограничения по времени действия, они могут быть деактивированы без удаления (приостановление действий учетных записей). Управление пользователями, группами и правами доступа выполняется через веб-интерфейс, чьи возможности обеспечивают удобное управление тысячами пользователей сайта. iisProtect разрабатывался с учетом требований провайдеров, поэтому в него заложены возможности поддержки множества сайтов с индивидуальными базами пользователей для каждого.

Пользователи и группы пользователей сайта независимы от пользователей операционной системы, а информация о них сохраняется в базе данных, доступ к которой осуществляется через OLEDB. В качестве баз данных поддерживаются Access и SQL-сервер. Количество групп и пользователей не ограничено. Для автоматического разрешения доступа на сайт используются различные проверки, включая адрес IP, домен, пользовательское приложение. Таким образом, пользователи локальной сети могут автоматически получать доступ к сайту, внешние же пользователи должны вводить логин и пароль.

У каждого сайта может быть свой администраторИнтерфейс администратора состоит из двух независимых разделов — раздела общего администрирования и раздела администрирования сайта. В разделе общего администрирования формируется информация о сайтах, которые будут управляться с помощью программы (их можно определить через названия или IP-адреса), путь к лог-файлу, фиксирующему все действия администратора. Ничего интересного в этом разделе больше и нет. Все остальное — в разделе администрирования сайта, куда можно перейти через ссылку в общем разделе (при этом у каждого сайта может быть свой администратор).

Этот раздел дает большие возможности для управления доступом и аутентификации пользователей. Пользователи могут быть разбиты на группы. Описание группы включает лишь ее название. Описание пользователя много шире — это и его пароль, доступный администратору в явном виде (непонятно, зачем?), и данные для доступа к операционной системе (NT-логин и пароль — непонятно, почему не может эта информация быть взята из данных операционной системы, если уж ее решают использовать?), адрес электронной почты и членство в группах.

Настройка доступа к различным разделам или файлам выглядит таким образом. На закладке интерфейса Access от администратора требуется вписывать (а не выбирать из дерева) полный путь до защищаемого раздела или файла, заносить список пользователей, которым разрешен или, наоборот, запрещен доступ. Ограничить или разрешить доступ к сайту можно и иначе — через настройку фильтров (закладка Filter). Фильтр может содержать либо название домена, либо IP-адрес, либо название программного агента, с помощью которого пользователи смогут получать доступ к защищенной от других информации. Недостатком этого способа можно назвать то, что все, к примеру, домены можно определить либо как разрешенные, либо запрещенные, аналогично — программные агенты. Несколько жесткие требования, но они работают.

iisPROTECT — это лишь одна из нескольких разработок компании. Ею выпущен еще один продукт — iisPROTECTquota, являющийся развитием уже рассмотренного нами. Помимо функций, поддерживаемых программой iisPROTECT, второй продукт обеспечивает поддержку дополнительных ограничений. Среди них — ограничение объема полученной информации за сессию одним пользователем, блокирование пользователя после неудачной попытки ввода логина (похоже, этот способ был создан еще в то время, когда основной доступ к Интернету пользователи имели с помощью модемов). Программа поддерживает также возможность разделения логина между несколькими пользователями. А еще есть встроенная биллинговая система, но это уже иная тема.

Еще одна аналогичная разработка — программа AuthentiX. Основное направление у нее то же, как у предыдущей программы. Это защита разделов и отдельных файлов вашего сайта, разделение доступа, аутентификация пользователей. Безусловно, есть и различия. Так, в качестве основного способа аутентификации используется метод Basic, но не тот, что поддерживается в IIS, а собственный. Впрочем, помимо этого метода, также допустимо использование авторизации с использованием cookies.

Настройка программы более удобна, используются возможности Windows для выбора разделов и файлов, более продуманно сделан и выбор пользователей, настройка их прав. Для сохранения сведений используется больше различных вариантов — это и использование баз данных (включая Oracle), и текстовые файлы, и зарегистрированные пользователи операционной системы. Аналогично для настройки прав доступа используются и данные о пользователях, и IP-адреса, и доменные имена, и пользовательские приложения. Настройки в этой программе выполнять удобнее и проще.

Программы предлагают различные дополнительные функции, зачастую не связанные непосредственно с проблемами защитыВ дополнение к общим возможностям ограничения доступа, программа предоставляет возможность настроить ограничения по размеру доступных разделов для пользователей (этот способ называется Throttle blocking). Еще одна интересная возможность (не связанная непосредственно с проблемами защиты) — отслеживание через использование cookies перемещения пользователей по сайту. Это позволяет контролировать переходы, а также вести статистику посещений наиболее важных для владельца сайта разделов — например, в случае с онлайновым магазином.

Конечно, это далеко не все программы, обеспечивающие подобные функции. Наиболее полный перечень их можно найти в разделе Computers — Security — Authentication каталога Google.

Таким образом, применение дополнительных программ позволяет значительно увеличить возможности IIS по управлению и разграничению доступа к поддерживаемым сайтам, вывести его на один уровень с Apache.

Ссылки по теме

• Компания Flicks Software
• Компания Corporate Web Solutions Ltd.