Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Разработка под ASP.NET > Имперсонация и делегирование


Автор: csprogrammer 22.11.2007, 15:54
Уважаемые коллеги!

Разрабатываю многоуровневое приложение, как показано на схеме. Никак не могу настроить, чтобы веб-запрос от front-end сервера к Remoting-объекту back-end сервера выполнялся, от имеи того, пользователя, который зашёл на сайт. Настройки следующие. Для front-end сервера в Active Directory стоит галка "Trust computer for delegation". В web.config на front-end сервере содержится строчка
Код

<identity impersonate="true"/>

В результате ASP.NET-приложение на front-end сервере на строчке создания удалённого объекта вылетает с ошибкой "Server Error in '/webreport' Application. The remote server returned an error: (401) Unauthorized." В логах IIS видно, что запрос выполнялся от анонимного пользователя.

Измучался весь  smile 

Автор: Zakonnic 23.11.2007, 11:24
Самый важный док по теме - http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerbdel.mspx. Здоровый, собака - читать неперечитать. 

Но с твоей архитектурой даже не знаю. Лично я настраивал только в локальной сети с доменными пользователями. Там, при условии запуска SQL Server под доменным логином, а IIS под NetworkService, нужно всего лишь поставить SPN для логина SQL Server и в Active Directory на вкладке "делегирование" (Win2003 Server) учетной записи компа с ИИС-ом добавить эти SPN. Хотя там есть пункт что-то вроде "Использовать какой-нибудь левый метод" как раз для аутентификации по Интернету, но я его не пробовал. 

ЗЫ. Для тех, кто не в курсе - это способ аутентификации пользователей веб сервера (IIS) на SQL Server, если сервера стоят на разных машинах. 

Автор: csprogrammer 27.11.2007, 10:00
На самом деле в моём случае есть VPN через Internet, так что можно считать, что я в локальной сети, только подсети разные. И работаю я, также, с доменными пользователями. Только домены опять же разные. Но это не столь важно, я думаю. Специфика моей ситуации в том, что IIS обращается не к MS SQL, а к другому IIS-у! И тот второй IIS видит это обращение как анонимное :(

А что касается ссылки - да, действительно основательная статья. Обязательно прочитаю, спасибо.

Автор: Zakonnic 28.11.2007, 14:01
Цитата(csprogrammer @  27.11.2007,  10:00 Найти цитируемый пост)
И работаю я, также, с доменными пользователями. Только домены опять же разные.
Хммм... Может один домен должен доверять другому (настраивается в ActiveDirectory)? 

Цитата(csprogrammer @  27.11.2007,  10:00 Найти цитируемый пост)
Специфика моей ситуации в том, что IIS обращается не к MS SQL, а к другому IIS-у!
Это нифига не специфика. Схема та же. А анонимное обращение - следствие отката к стандартной NTLM-аутентификации из-за невозможности разрешить все керберосом. По идее ты прав - под Win2000 в ActiveDirectory достаточно поставить "Trust computer for delegation" для среднего компа с иисом. Если ИИСы работают под NetworkService, все SPN уже зарегены, хотя явно и не отображаются. Специфику как раз составляет VPN и два разных домена. Kerberos должен передавать "билеты" (tickets) и не известно, сможет ли он на одном поезде домене опознать, что билет, выданный пассажиру другого поезда пользователю другого домена, работает и в этом smile

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)