IIS in esecuzione come account di servizio con AzMan
-
19-09-2019 - |
Domanda
Ho l'obbligo di avere un sito web in esecuzione come un account di servizio per motivi IP, anche io voglio essere in grado di utilizzare AzMan per Auth / Auth degli utenti. Per qualche motivo non riesco a ottenere questi a lavorare insieme. Ho creato un'applicazione di esempio per testare le acque che sputa fondamentalmente alcune credenziali dell'utente. Altro che Azman e la configurazione web impostare l'applicazione non ha codice di integrazione (senza registrazione DB interazione / / Webserice) si tratta di un uno pager.
L'esecuzione del pool di applicazione con l'account del servizio di rete con l'accesso negato di Anon ottengo:
Windows Identity Check - Name: 'NT AUTHORITY\NETWORK SERVICE'
Request.LogonUserIdentity.Name = 'CT\rhyc'
HttpContext.User.Identity.Name = 'CT\rhyc'
User.Identity.Name = 'CT\rhyc'
Is in UserRole = 'True'
.. che è tutto buono, tutto funziona, ma l'account di servizio non è servizio di rete l'account di servizio sono supposto di utilizzare. Se posso passare l'account per l'account di servizio ottengo la finestra pop-up che chiede le credenziali utente (che io non voglio, dovrebbe essere single sign on); però mi è stato sempre queste credenziali tramandate nel set precedente up (ct / rhyc)
C'è stata una corsa di comando setspn per il sito web (a quanto pare), ma io non so davvero cosa SPN fa, e tanto meno sa come controllarlo. Anche se mi permetto l'accesso anon con il pool di app che esegue il servizio conto della ottengo:
Windows Identity Check - Name: 'CT\SVC-PERAT2-T2DEV'
Request.LogonUserIdentity.Name = 'PERAT2NTAH3WD1\CVX_IUSR'
HttpContext.User.Identity.Name = ''
User.Identity.Name = ''
Is in UserRole = 'False'
Scusate ragazzi, io sono e n00b IIS, non è normalmente una cosa che vorrei fare, tuttavia i nostri amministratori non sembrano sapere molto su IIS quindi è lasciato a me ..: (
Soluzione
con SPN si stanno ottenendo nel mondo di Kerberos. Questo è in genere una superficie dell'ignoto.
C'è una grande whitepaper che cammina attraverso la sicurezza di risoluzione dei problemi attorno a questo: http://www.microsoft. com / downloads / Details.aspx? FamilyID = 7dfeb015-6043-47db-8238-dc7af89c93f1 & displaylang = it
E spiega su come attivare la registrazione di più per arrivare alla radice del problema di autenticazione. Di solito è a che fare con la delega in Exchange non essere configurato per passare le credenziali di un utente su etc.
Maggiori informazioni qui: http://support.microsoft.com/kb/262177
Altri suggerimenti
OK in modo che appaia come se stessimo abbaiare contro l'albero sbagliato. Kerbros non è mai stato richiesto, in qualche modo ha ottenuto scivolato attraverso sussurri cinesi. Abbiamo cambiato a poco NTLM e tutto va bene.
cmd seguito
cscript adsutil.vbs set w3svc / 1.152.622,725 mila / root / NTAuthenticationProviders "NTLM"
dove 1152622725 è stato il sito web id
Grazie per tutto l'aiuto ragazzi, abbiamo imparato la lezione: non f__k con kerbros, perché morde indietro