IIS - 401.3 - Trái phép

Tôi đang cố gắng bắt đầu sử dụng IIS. Tôi đã tạo một trang web mới trên Trình quản lý IIS, ánh xạ nó vào một thư mục trên hệ thống tệp của tôi và thêm index.html vào thư mục. Tôi đã đặt cổng thành 85 cho trang web này. Khi tôi cố gắng truy cập http://localhost:85/index.html, tôi nhận được thông báo lỗi sau:

401.3 - trái phép - Bạn không có quyền xem thư mục hoặc trang này do cấu hình danh sách kiểm soát truy cập (ACL) hoặc cài đặt mã hóa cho tài nguyên này trên máy chủ Web.

Tôi đã cấp quyền truy cập đã đọc cho mọi người trên thư mục và thử lại. Sau đó tôi có thể truy cập trang.

Sau đó, tôi so sánh các thuộc tính của thư mục của tôi với của wwwroot. Tôi thấy rằng wwwroot có quyền truy cập đọc trên IIS_IUSRS ... Khi tôi thực hiện tương tự trên thư mục của mình và thử lại, tôi lại gặp lỗi ở trên. Tôi đã kiểm tra rằng quyền truy cập ẩn danh được bật theo mặc định, nhưng tôi vẫn gặp lỗi này.

Lý do tại sao điều này xảy ra? Cách chính xác để giải quyết vấn đề là gì?

Tôi đã đấu tranh về vấn đề tương tự trong vài ngày. Nó có thể được giải quyết bằng cách sửa đổi các thuộc tính truy cập người dùng bảo mật của thư mục hệ thống tệp mà trang web của bạn được ánh xạ. Nhưng IIS_IUSRS không phải là tài khoản duy nhất bạn phải ủy quyền.

• Trong bảng điều khiển quản lý IIS, trong phần Xác thực của cấu hình trang web của bạn, hãy sửa đổi dòng "Xác thực ẩn danh" và kiểm tra tài khoản được đặt là "Người dùng cụ thể" (của tôi là IUSR).
• Cấp quyền đọc và thực thi trên thư mục của trang web của bạn cho tài khoản được liệt kê là người dùng cụ thể.

HOẶC LÀ

• Trong bảng điều khiển quản lý IIS, trong phần Xác thực của cấu hình trang web của bạn, hãy sửa đổi dòng "Xác thực ẩn danh" bằng cách chọn "Danh tính của nhóm ứng dụng" thay vì "Người dùng cụ thể".

Đây là những gì đã làm việc cho tôi.

1. Đặt danh tính nhóm ứng dụng cho một tài khoản có thể được gán quyền cho một thư mục.
2. Đảm bảo thư mục nguồn và tất cả các tệp liên quan đã được cấp quyền đọc đối với các tệp đối với tài khoản được gán cho thuộc tính nhận dạng nhóm ứng dụng
3. Trong IIS, tại nút gốc của máy chủ, đặt người dùng ẩn danh kế thừa từ danh tính nhóm ứng dụng. (Đây là phần tôi đã đấu tranh với)

Để đặt máy chủ ẩn danh kế thừa từ danh tính nhóm ứng dụng, hãy làm như sau ..

• Mở trình quản lý IIS (inetmgr)
• Trong ngăn bên tay trái, chọn nút gốc (tên máy chủ của máy chủ)
• Trong ngăn giữa, mở applet 'Xác thực'
• Đánh dấu 'Xác thực ẩn danh'
• Trong ngăn bên tay phải, chọn 'Chỉnh sửa ...' (một hộp thoại sẽ mở ra)
• chọn 'Danh tính nhóm ứng dụng'

TL; DR;

Trong hầu hết các trường hợp, cấp quyền truy cập vào (các) tài khoản sau (một | cả hai) là đủ:

1. IIS AppPool \ DefaultAppPool
2. IUSR

với Quyền truy cập :

1. Đọc và thi hành
2. Danh sách nội dung thư mục
3. Đọc

Đó là nó!

Đọc tiếp để có lời giải thích chi tiết hơn ...

1. Mở IIS và chọn ứng dụng của bạn .
2. Ở phía bên phải, nhấp vào Xác thực .
3. Chọn " Xác thực ẩn danh " tại đây.
4. Hộp thoại sau bật lên.

Cấp quyền truy cập vào ACL của thư mục ứng dụng web tùy thuộc vào những gì được chọn trong hình trên:

• Người dùng cụ thể : cấp quyền truy cập cho cả haiIUSR(trong trường hợp của tôi) +IIS AppPool\DefaultAppPool
• Hồ bơi ứng dụng sắc : Truy cập tài trợ choIIS AppPool\DefaultAppPoolchỉ

IIS AppPool\DefaultAppPool tài khoản là tài khoản AppPool mặc định cho các ứng dụng web IIS mới, nếu bạn đã đặt tài khoản tùy chỉnh, hãy sử dụng tài khoản tùy chỉnh.

Cấp các quyền sau cho (các) tài khoản:

1. Read & Execute
2. List folder contents
3. Read

Vì bạn đang xử lý nội dung tĩnh ...

Trên thư mục đóng vai trò là thư mục gốc của trang web của bạn- nếu bạn nhấp chuột phải> thuộc tính> bảo mật, "Người dùng" có hiển thị trong danh sách không? nếu không nhấp vào "Thêm ..." và nhập nó vào, hãy nhớ nhấp vào "Áp dụng" khi bạn hoàn tất.

Hãy thử giải pháp này:

/server/38222/iis-7-5-windows-7-http-error-401-3-unauthorized

Đồng thời kiểm tra xem người dùng đang chạy IIS AppPool có quyền đọc vào thư mục / tệp đó hay không.

Có một cái nhìn tại đây:

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

Cũng hãy xem cái này:

http://www.iis.net/learn/get-started/planning-for-security/undilities-built-in-user-and-group-accounts-in-iis

Đề phòng bất kỳ ai khác gặp phải điều này. Tôi đã khắc phục sự cố tất cả các bước này và hóa ra là do tôi đã giải nén một số tệp từ MAC, Microsoft tự động không có thông báo Đã mã hóa các tệp. Sau nhiều giờ cố gắng thiết lập quyền thư mục, tôi đã truy cập và thấy tên tệp có màu xanh lục, có nghĩa là tệp đã được mã hóa và IIS sẽ gặp lỗi tương tự ngay cả khi quyền đối với thư mục là chính xác.

1. Tạo một trang web mới, Nhấp chuột phải vào thư mục Trang web sau đó nhấp vào thêm Trang web
2. Nhập tên trang web.
3. Chọn đường dẫn vật lý
4. Chọn địa chỉ Ip
5. Thay đổi cổng
6. Bấm OK
7. Đi tới Hồ bơi ứng dụng
8. Chọn nhóm trang web
9. Nhấp chuột phải vào nhấp vào Cài đặt nâng cao
10. Thay đổi phiên bản .Net CLR thành "Không có mã quản lý"
11. Thay đổi Identity thành "ApplicationPoolIdentity"
12. Chuyển đến trang chủ của Trang web, sau đó nhấp vào "Xác thực"
13. Nhấp chuột phải vào AnonymousAuthentication rồi nhấp vào "Chỉnh sửa"
14. Chọn danh tính nhóm ứng dụng
15. Bấm ok
16. bùm!

cho các tuyến thêm một web.config

<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="React Routes" stopProcessing="true">
                    <match url=".*" />
                    <conditions logicalGrouping="MatchAll">
                        <add input="{REQUEST_FILENAME}" matchType="IsFile" negate="true" />
                        <add input="{REQUEST_FILENAME}" matchType="IsDirectory" negate="true" />
                        <add input="{REQUEST_URI}" pattern="^/(api)" negate="true" />
                    </conditions>
                    <action type="Rewrite" url="/" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

Một vấn đề khác có thể phát sinh liên quan đến việc nhận trái phép là liên quan đến các nhà cung cấp được sử dụng trong cài đặt xác thực từ IIS. Trong trường hợp của tôi, tôi đã gặp sự cố đó Nếu tôi đặt nhà cung cấp Xác thực Windows là "Thương lượng". Sau khi tôi chọn tùy chọn "NTLM", quyền truy cập đã được cấp.

Thông tin thêm về nhà cung cấp dịch vụ xác thực

https://docs.microsoft.com/en-us/iis/configuration/system.webserver/security/authentication/windowsauthentication/providers/

Vui lòng bật các mục sau trong Windows 2012 R2

Nếu bạn đang làm việc với xác thực Nhóm ứng dụng (thay vì IUSR), thì danh sách kiểm tra này của Jean Sun là cách tốt nhất mà tôi có thể tìm thấy để giải quyết lỗi 401 trong IIS:

Mở Trình quản lý IIS, điều hướng đến trang web hoặc thư mục ứng dụng của bạn nơi trang web được triển khai.

1. Mở Cài đặt nâng cao (nó nằm trong ngăn Tác vụ bên phải).
2. Ghi lại tên Nhóm ứng dụng rồi đóng cửa sổ này
3. Nhấp đúp vào biểu tượng Xác thực để mở cài đặt xác thực
4. Tắt xác thực Windows
5. Nhấp chuột phải vào Xác thực ẩn danh và nhấp vào Chỉnh sửa
6. Chọn nút radio nhận dạng nhóm ứng dụng và nhấp vào OK
7. Chọn nút Application Pools từ cây quản lý IIS ở bên trái và chọn tên Application Pool mà bạn đã ghi chú ở bước 3
8. Nhấp chuột phải và chọn Cài đặt nâng cao
9. Mở rộng cài đặt Mô hình Quy trình và chọn ApplicationPoolIdentity từ danh sách thả xuống "Tài khoản tích hợp" rồi nhấp vào OK.
10. Nhấp vào OK một lần nữa để lưu và loại bỏ trang cài đặt nâng cao Nhóm ứng dụng
11. Mở dòng lệnh Administrator (nhấp chuột phải vào biểu tượng CMD và chọn "Run As Administrator". Nó sẽ nằm ở đâu đó trên menu bắt đầu của bạn, có thể là trong Phụ kiện.

12. Chạy lệnh sau:

    icacls <path_to_site> /grant "IIS APPPOOL\<app_pool_name>"(CI)(OI)(M)
    

    Ví dụ:

    icacls C:\inetpub\wwwroot\mysite\ /grant "IIS APPPOOL\DEFAULTAPPPOOL":(CI)(OI)(M)
    

Đặc biệt là các bước 5. & 6. thường bị bỏ qua và ít được đề cập trên web.