那些遇到过的问题

ASP.Net Web应用程序尝试使用Impersonation和Delegation连接到SQL Server

Gra*_*ark 15 asp.net iis-7 kerberos delegation

我正在尝试在Intranet ASP.Net Web应用程序中使用Impersonation和Delegation,以便将经过身份验证的用户凭据传递到SQL Server.

Web服务器和SQL服务器是两个独立的计算机,但在同一个域中,因此需要委派.

我做了以下事情:

  • 设置<authentication mode="Windows"/><identity impersonate="true"/>在我的web-app的web.config中.
  • 在Active Directory中启用从Web服务器到SQL Server上的MSSQLSvc服务的约束委派.
  • 通过IIS在网站中仅启用Windows身份验证.

显然这应该都可以,但它没有(SQL Server拒绝访问匿名用户 - "登录失败的用户'NT AUTHORITY\ANONYMOUS LOGON'").

在IIS7中,应用程序池设置为使用集成Pipleline模式,并使用NetworkService Identity运行.该网站仅启用了Windows身份验证,关闭了扩展保护,启用了内核模式身份验证,并且NTLM是提供者.

我读过的所有网页似乎表明我的设置应该有效.我错过了什么?

Gra*_*ark 16

我发现了答案:

IIS7中的Windows身份验证提供程序必须设置为Negotiate:Kerberos,而不是NTLM.这意味着必须禁用内核模式身份验证设置.这似乎很好.我认为我说在使用自定义标识(即一个特定标识)时需要内核模式身份验证是正确的.委派可以使用任意数量的身份.一切都很好.

我也写了一篇关于此的博客文章,其中有更详细的内容.

归档时间:

查看次数:

14933 次

最近记录:

12 年,3 月 前
相关归档
使用web.config在asp.net中使用http到期头文件 24
C#在运行时绑定事件时将附加参数传递给事件处理程序 15
CSS未应用于未经过身份验证的ASP.NET页面 13
如何在aspx文件中创建区域? 11
如何在IIS中为通用错误页面发送状态代码"500"? 10
ASP.NET回发在URL重写中产生问题? 10
如何使用asp.net c中的response.redirect()重定向到上一页 10
WCF REST服务 - 401未经授权 8
将MVC 2应用程序添加到IIS 7中的Nancy站点 6
当你可以通过ldap进行身份验证和授权时,为什么要使用kerberos? 4
难疑归档
正则表达式匹配不包含单词的行? 4121
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
如何为C#Auto-Property提供默认值? 1773
Facebook如何禁用浏览器的集成开发人员工具? 1652
如何将NodeJS和NPM更新到下一个版本? 1573
如何递归计算目录中的所有代码行? 1536
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
如何使用INER JOIN与SQL Server删除? 1181
LF将被git中的CRLF取代 - 这是什么,它是否重要? 1146
Django会扩展吗? 1101