Microsoft Internet Information (IIS) merupakan aplikasi web server yang dibuat dan hanya diperuntukkan bagi para pengguna Windows saja. Jika Anda menggunakan Linux pada komputer server maka tidak bisa menggunakan aplikasi server web ini.
Microsoft Internet Information (IIS) ini dapat Anda pasang pada versi Windows apapun, baik windows biasa ataupun windows server, tapi untuk versi terbaru IIS 7,5 minimum Windows yang bisa digunakan adalah Windows 7.
Bagaimana Memahami Identitas Microsoft Internet Information (IIS)?
Microsoft Internet Information (IIS) mempunyai 4 komponen pendukung yaitu Protokol Jaringan TCP/IP, Domain Name System (DNS), menggunakan format NTFS agar lebih aman, dan software server untuk menangani website.
Kelebihan yang dimiliki IIS sangat banyak untuk web server, IIS mendukung protokol HTTP/HTTPS, Ftp, SMTP, dan NNTP, selain itu juga bisa menggunakan berbagai bahasa pemrograman, diantaranya Javascript, PHP, (dot)NET Framework, CGI, dan ASP.
Berikut Beberapa Hal Memahami Identitas di Microsoft Internet Information (IIS)
Untuk memahami identitas kumpulan aplikasi, Anda perlu memahami apa itu identitas. Sederhananya, identitas adalah akun Windows yang setiap proses yang berjalan di Windows berjalan di bawah identitas.
Aplikasi diluncurkan oleh proses pekerja menggunakan identitas Windows. Identitas Windows yang digunakan bergantung pada identitas kumpulan aplikasi, yang dapat berupa salah satu akun berikut:
1. Sistem Lokal
Akun tepercaya dengan hak istimewa tinggi dan akses ke sumber daya jaringan.
2. Layanan Jaringan
Akun layanan terbatas atau terbatas yang digunakan untuk menjalankan layanan standar dengan hak istimewa minimal. Akun ini memiliki hak istimewa yang lebih sedikit daripada akun Sistem Lokal. Akun ini memiliki akses ke sumber daya jaringan.
3. Layanan Lokal
Akun layanan yang dibatasi atau dibatasi, mirip dengan Layanan Jaringan, yang dirancang untuk menjalankan layanan standar dengan hak istimewa minimal. Akun ini tidak memiliki akses ke sumber daya jaringan.
4. ApplicationPoolIdentity
Ketika kumpulan aplikasi baru dibuat, Microsoft Internet Information (IIS) membuat akun virtual dengan nama kumpulan aplikasi baru dan memulai proses pekerja kumpulan aplikasi di akun itu. Ini juga merupakan akun dengan hak istimewa minimal.
5. Akun pengguna
Selain akun bawaan ini, Anda juga dapat menggunakan akun pengguna dengan memberikan nama pengguna dan kata sandi.
Perbedaan Antara Identitas Kumpulan Aplikasi
1. Mengakses log peristiwa
Dalam skenario ini, Anda memiliki satu aplikasi web yang membuat log peristiwa kustom ( MyWebAppZone ) dan sumber log peristiwa ( MyWebAppZone.com ) saat runtime. Aplikasi yang berjalan di bawah salah satu identitas dapat menulis ke log peristiwa menggunakan sumber peristiwa yang ada.
2. Akses Registri
Selain Sistem Lokal, identitas kumpulan aplikasi lain tidak memiliki akses tulis ke registri. Dalam skenario ini, Anda telah mengembangkan aplikasi web sederhana yang dapat mengubah dan menampilkan nama server waktu Internet yang secara otomatis disinkronkan dengan Windows.
Anda akan mendapatkan pengecualian saat menjalankan aplikasi ini di layanan lokal. Ketika Anda memeriksa jejak ProcMon, Anda menemukan bahwa identitas kumpulan aplikasi NT Authority\Local Service tidak memiliki akses baca/tulis ke subkunci registri.
3. Akun pengguna di lingkungan otentikasi Kerberos dengan penyeimbangan beban
Dalam skenario 1 dan 2, Anda telah melihat beberapa perbedaan antara akun bawaan. Sekarang mari kita bahas apa itu akun pengguna dan bagaimana keunggulannya dibandingkan akun bawaan saat bekerja dengan autentikasi Kerberos di lingkungan yang seimbang beban.
Dengan pendekatan ini, aplikasi berjalan di kumpulan aplikasi yang dikonfigurasi untuk dijalankan dengan identitas Windows tertentu. Pertimbangkan skenario berikut ini, di mana aplikasi di-host di lingkungan dengan beban seimbang yang mencakup dua server dan menggunakan otentikasi Kerberos untuk mengotentikasi klien.
Agar otentikasi Kerberos berfungsi, Anda harus mengonfigurasi SPN untuk kedua server dengan akun komputer. Jika kumpulan aplikasi berjalan di bawah akun bawaan, ini menyediakan kredensial komputer di jaringan.
Memahami Isolasi Konfigurasi
Proses pekerja Microsoft Internet Information (IIS) tidak memiliki akses baca ke file ApplicationHost.config. Oleh karena itu, mungkin timbul pertanyaan bagaimana mereka dapat membaca salah satu set konfigurasi dalam file ini.
Jawabannya terletak pada penggunaan fitur isolasi konfigurasi di IIS 7.0 dan yang lebih baru. Alih-alih mengizinkan proses pekerja IIS untuk membaca data ApplicationHost.config secara langsung saat membaca hierarki file konfigurasi, layanan aktivasi windows (WS) membuat salinan yang difilter dari file ini.
Setiap proses pekerja IIS menggunakan salinan ini sebagai pengganti ApplicationHost.config saat membaca konfigurasi di dalam proses pekerja IIS. ApplicationHost.config dapat berisi informasi pribadi yang sensitif, seperti nama pengguna dan kata sandi untuk identitas khusus kumpulan aplikasi, atau nama pengguna dan kata sandi untuk direktori virtual.
Oleh karena itu, memberikan semua kumpulan aplikasi akses ke ApplicationHost.config akan memutus isolasi kumpulan aplikasi. Jika setiap kumpulan aplikasi telah diberikan akses langsung ke file ApplicationHost.config, kumpulan ini dapat dengan mudah membobol informasi sensitif dari kumpulan aplikasi lain dengan menjalankan perintah.
Buka proses pekerja IIS dari Testsitus web pengujian yang meniru pengguna lokal dan lihat apakah Anda dapat menemukan akun peniruan identitas yang menjalankan kode aplikasi. Itulah ulasan tentang Microsoft Internet Information (IIS) dan pahami identitasnya, terimakasih.
