Limitazioni Utente

**Nuvolari2** · 08-04-2003, 19:40

Ho creato un sito web su iis 5.0 (windows 2000 server) strutturato in modo tale che per accedervi occorra autenticarsi come utente windows fornendo user id e password nella classica finestra di richiesta autenticazione di windows.
Il sito non ha alcuna programmazione ASP o altro. E' una pura visualizzazione dei contenuti dei file e delle directory contenute nel sito.

Fin qui tutto bene.

Il mio problema è il seguente:
come faccio a fare in modo che un utente che accede al sito web possa visitare tutti i contenuti del sito ma non possa effettuare nessun download dei file visualizzati ?

Grazie !

Nuvolari2

**seclimar** · 09-04-2003, 09:36

gioca sui permessi delle directory.... abilitandoli

ma nega i permessi ai file singoli ...al gruppo di utenti che possono accedere al sito! o direttamente agli utenti!

**Nuvolari2** · 09-04-2003, 09:43

Quindi se ho capito bene devo:

andare sulle directory fisiche del server e abilitare tutte le operazioni possibili (lettura, esplorazione).

Poi vado in Amministrazione Utenti di windows e modofico i permessi del gruppo dedicato ai visitatori del sito.
(Per esempio: accesso anonimo deve poter vedere tutto ma scaricare nulla.
Mentre il gruppo degli utenti autenticati deve poter vedere tutto e scaricare tutto)

Dove si trova esattamente nel pannello di controllo la gestione dei permessi dei gruppi degli utenti ?

Ciao e grazie mille per la tua disponibilità !!

Nuvolari2

**seclimar** · 09-04-2003, 10:43

no no!
io metterei come hai detto tu .. tutti i permessi di accesso alla cartella

poi.. sui singoli files.... togli i permessi di lettura
ad ogni utente.. oppure a gruppo di utenti!

puoi fare un gruppo di utenti:
WEBUSERS
nel quale metti tutti gli utenti che usano il web

poi a webusers dai il permesso di lettura della cartella
ma non ad ogni singolo file...

puoi anche fare un gruppo
WEBUSERS_DOWNLOAD
in questo gruppo metti gli utenti che possono scaricare....
ecc...ecc...

**Nuvolari2** · 09-04-2003, 11:10

Giusto !!!

Grazie mille!!!!
Mi hai risolto un vero problemone.

A proposito, tu sai come si fa in ASP ad accedere ad una pagina web, passando in automatico userID e password di autenticazione utente windows in modo occulto (non sulla stringa di query dove l'utente la può leggere?).

In poche parole come si fa cliccando su un link presente ad una pagina pubblica per tutti, a fare in modo che questo link ti faccia accedere ad una pagina web riservata solo ad un determinato utente windows. L'accesso deve avvenire in modo automatico senza che venga richiesta la UserId e la password con la classica finestrella.

Lo so che sembra priva di senso come domanda, ma la cosa mi serve perchè gli utenti che accedono NON devono conoscere la user id e password dell'utente windows autorizzato, ma devono conoscere solo la loro User Id e Password (diversa per ciascun utente) con cui si sono registrati sul sito. In pratica è un escamotage per non dover creare un utente windows per ciascun navigatore e per fare in modo che i navigatori non conoscano mai la user id e password di autenticazione windows.

Ciao e grazie mille !!!
Nuvolari2

**seclimar** · 09-04-2003, 11:18

meglio se posti nel forum di ASP

in ogni caso
se non vuoi fare vedere sulla querystring
puoi fare una post..
pero' se tracci con network monitor vedi anche i parametri della post!

se non vuoi neanche questo

utente usato dalla windows autentication e' contenuto nella variabile:
LOGON_USER nelle
server variables!

quindi..se usi la logon_user .. rimane nelle variabili di sessione
altrimenti..se non ti basta la LOGON_USER
fai come me...

http://gruppocss.dnsalias.com

una variabile di sessione USER
una variabile password

in un file incluso all'inizio di ogni pagina ASP
controllo sul DB user e password se sono OK
se lo sono .. lascio eseguire la pagina.. se non lo sono .. rimando alla pagina di autenticazione!

**Nuvolari2** · 09-04-2003, 11:25

Grazie !
Farò qualche esperimento... scommetto che dopo qualche incornata dovrebbe funzionare tutto.

Sei stato gentilissimo, spero di poter ricambiare alla prossima!

Ciao
Nuvolari2

**Nuvolari2** · 09-04-2003, 13:25

Ehmmm credo che mi sono spiegato male...

ho fatto qualche prova ma...

a me serve:

accedere ad una cartelletta del sito web che richiede autenticazione windows SENZA che l'utente debba inserire user id e password di Windows.
Vorrei fare in modo che sia la mia pagina ASP che passa i dati corretti per l'autenticazione windows alla pagina in questione.

In altre parole:

1 - sulla pagina pubblica un navigatore accede.
2 - su qella pagina il navigatore clicca un link (o compila una form)
che lo manda in una cartelletta ad accesso riservato.

durante questo passaggio, sarà la mia pagina ASP che passa le autorizzazioni windows alla cartelletta ad accesso riservato. NON deve essere l'utente, MAI ad inserire user id e password.

Ciao
Nuvolari2

**seclimar** · 09-04-2003, 13:30

ma e' gia' cosi' in partenza!
se su IIS metti l'accesso anonimo.. (come e' di default)
c'e' un utente comune a tutti
IUSR_NOMESERVER (mi sembra)... che legge e scrive le cartelle!

basta che a questo utente metti i permessi giusti sulle cartelle che vuoi tu!

se invece vuoi un utente diverso per ogniuno che si collega..
o fai inserire le password su un form (form authentication)
o sul popup di windows.. togliendo anonymous access (windows authentication)
oppure sempre con la windows authentication... se il pc e' nello stesso dominio.. vengono trasmesse le credenzili dell'utente loggato sul pc! (ma su internet non va bene .. deve essere intranet quest'ultimo)

**Nuvolari2** · 09-04-2003, 18:25

Scusa... sono veramente incasinato e non riesco bene a capire cosa intendi... per sicurezza riespongo il problema in modo più chiaro.

Il problema, più in generale è il seguente.

- Ho un sito HTTP SENZA pagine ASP e senza pagine HTML .
Gli utenti lo possono navigare SOLO attraverso la visualizzazione
della cartellette e dei file. E' quasi come se fosse un sito ftp.

Ho due categorie di utenti

1- gli utenti che non hanno pagato
2- gli utenti che HANNO pagato

chi NON ha pagato deve vedere tutto ma scaricare niente.
chi HA PAGATO deve vedere tutto e scaricare tutto.

Per fare questa distinzione in teoria dovrei seguire questa soluzione:

per ogni utente che paga gli creo un utente windows con relativa user id e password.

PRO - riesco a fare funzionare il tutto.
CONTRO - devo creare una marea di utenti windows a mano...
- la procedura non è automatizzata e dunque al pagamento
non corrisponde una immediata abilitazione.

morale: questa soluzione è molto inefficiente.

a questo punto avevo ipotizzato:

Per ogni utente che paga creo in automatico una user id e password in un database.
L'utente che ha pagato visita una pagina .asp dove viene effettuata l'autenticazione della user id e password creata in modo automatico e messa nel database (che non c'entra con l'autenticazione di windows).

Se questa autenticazione ha esito positivo la mia pagina ASP collega l'utente (che NON CONOSCE MAI la user id e password dell'utente windows autorizzato MA SOLO la user id e password creata in modo automatico nel database) al sito web in questione, autenticandolo in modalità windows senza che l'utente debba fare più nulla.

è proprio questa autenticazione windows senza che l'utente conosca mai la user id e password dell'utente di windows che mi crea problemi.

Il problema potrebbe essere risolto se con uno script asp io potessi creare un nuovo utente windows in automatico... ma non credo che ciò sia possibile...

AIUTOOOO !!!

Nuvolari2

Discussione: Limitazioni Utente

Strumenti discussione

Ricerca discussione

Visualizza

Limitazioni Utente

Permessi di invio