Mar*_*cus 5 iis iis-7 application-pools authentication
在 IIS 7.5 网站的基本设置部分,有一个选项可以通过Connect As.... 如果保持关闭,则使用直通身份验证。
我认为这会使用应用程序池的身份,但事实并非如此。为了让我的网站在正确的用户帐户下连接到 MSSQL,我必须在Connect As...屏幕下指定用户。
那么Connect As...应用池标识和应用池标识有什么区别呢?
我推测这可能与计算机通过网络模拟应用程序池身份的能力有关。“连接为”已保存(并加密)凭据,因此它可以创建完整的主令牌并以该用户身份访问资源。对于“应用程序用户(通过身份验证)”,这将是现有令牌并尝试使用该令牌进行模拟。在这种情况下,如果执行模拟的计算机不被信任进行委派,则模拟不会成功。
这应该很容易测试和验证。
该计算机是否可以信任委派?在 Active Directory 用户和计算机 > 计算机 > 属性 > 委派选项卡中。选择“信任此计算机来委派任何服务(仅限 Kerberos)”。
您可能还需要设置 IIS7 配置设置“useAppPoolCredentials”。可以使用以下命令进行设置:
appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true
useAppPoolCredentials = True,2008 年使用 Kerberos 委派
https://blogs.technet.com/b/proclarity/archive/2011/03/08/useapppoolcredentials-true-with-kerberos-delegation-on-2008.aspx
可能相关:
| 归档时间: |
|
| 查看次数: |
18547 次 |
| 最近记录: |