IIS in esecuzione come account di servizio con AzMan
https://stackoverflow.com/questions/1303702
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho l'obbligo di avere un sito web in esecuzione come un account di servizio per motivi IP, anche io voglio essere in grado di utilizzare AzMan per Auth / Auth degli utenti. Per qualche motivo non riesco a ottenere questi a lavorare insieme. Ho creato un'applicazione di esempio per testare le acque che sputa fondamentalmente alcune credenziali dell'utente. Altro che Azman e la configurazione web impostare l'applicazione non ha codice di integrazione (senza registrazione DB interazione / / Webserice) si tratta di un uno pager.
L'esecuzione del pool di applicazione con l'account del servizio di rete con l'accesso negato di Anon ottengo:
Windows Identity Check - Name: 'NT AUTHORITY\NETWORK SERVICE'
Request.LogonUserIdentity.Name = 'CT\rhyc'
HttpContext.User.Identity.Name = 'CT\rhyc'
User.Identity.Name = 'CT\rhyc'
Is in UserRole = 'True'
.. che è tutto buono, tutto funziona, ma l'account di servizio non è servizio di rete l'account di servizio sono supposto di utilizzare. Se posso passare l'account per l'account di servizio ottengo la finestra pop-up che chiede le credenziali utente (che io non voglio, dovrebbe essere single sign on); però mi è stato sempre queste credenziali tramandate nel set precedente up (ct / rhyc)
C'è stata una corsa di comando setspn per il sito web (a quanto pare), ma io non so davvero cosa SPN fa, e tanto meno sa come controllarlo. Anche se mi permetto l'accesso anon con il pool di app che esegue il servizio conto della ottengo:
Windows Identity Check - Name: 'CT\SVC-PERAT2-T2DEV'
Request.LogonUserIdentity.Name = 'PERAT2NTAH3WD1\CVX_IUSR'
HttpContext.User.Identity.Name = ''
User.Identity.Name = ''
Is in UserRole = 'False'
Scusate ragazzi, io sono e n00b IIS, non è normalmente una cosa che vorrei fare, tuttavia i nostri amministratori non sembrano sapere molto su IIS quindi è lasciato a me ..: (
Soluzione
con SPN si stanno ottenendo nel mondo di Kerberos. Questo è in genere una superficie dell'ignoto.
C'è una grande whitepaper che cammina attraverso la sicurezza di risoluzione dei problemi attorno a questo: http://www.microsoft. com / downloads / Details.aspx? FamilyID = 7dfeb015-6043-47db-8238-dc7af89c93f1 & displaylang = it
E spiega su come attivare la registrazione di più per arrivare alla radice del problema di autenticazione. Di solito è a che fare con la delega in Exchange non essere configurato per passare le credenziali di un utente su etc.
Maggiori informazioni qui: http://support.microsoft.com/kb/262177
Altri suggerimenti
OK in modo che appaia come se stessimo abbaiare contro l'albero sbagliato. Kerbros non è mai stato richiesto, in qualche modo ha ottenuto scivolato attraverso sussurri cinesi. Abbiamo cambiato a poco NTLM e tutto va bene.
cmd seguito
cscript adsutil.vbs set w3svc / 1.152.622,725 mila / root / NTAuthenticationProviders "NTLM"
dove 1152622725 è stato il sito web id
Grazie per tutto l'aiuto ragazzi, abbiamo imparato la lezione: non f__k con kerbros, perché morde indietro
