Как получить доступ к сетевым файлам из приложений служб IIS

Переводы статьи Переводы статьи
Код статьи: 207671 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья содержит сведения о проблемах, связанных с доступом к файлам на компьютере, отличном от сервера Internet Information Server (IIS) Internet Server API (ISAPI) расширения, страницы Active Server Pages (ASP) или общий интерфейс шлюза (CGI) приложения. В статье перечислены некоторые из проблем, которые в них участвуют и возможных способов добиться этого.

Несмотря на то, что данная статья предназначена в первую очередь в контексте доступа к файлам в общих сетевых папках те же принципы применимы к именованным каналам подключений как хорошо. Именованные каналы часто используются для подключения к SQL Server, а также для удаленный вызов процедур (RPC) и средства связи модели компонентных объектов (COM). В частности, при подключении к SQL Server через сеть, которая является настроен на использование встроенной безопасности Microsoft Windows NT, вы не можете подключиться из-за проблем, описанных в данной статье. RPC и COM может также использовать другие механизмы связи, имеют похожие сети схем проверки подлинности. Таким образом основные понятия в в этой статье можно применить широкий спектр сетевого взаимодействия механизмы, которые могут быть использованы из приложений IIS.


Типы проверки подлинности и олицетворения

IIS обслуживает запрос HTTP, IIS выполняет олицетворение таким образом, доступ к к ресурсам для обработки запроса ограничена соответствующим образом. В контекст олицетворения безопасности зависит от типа проверки подлинности выполнить запрос. Пять различных типов проверки подлинности доступен с IIS 4.0 являются:
Authentication Type                          Impersonation Type
  
Anonymous Access (no authentication)         Network
Auto Password Synchronization is
ON (ON=default)
 
Anonymous Access (no authentication)         IIS Clear Text
Auto Password Synchronization is OFF         

Basic Authentication                         IIS Clear Text 

NT Challenge/Response Authentication         Network 

Client SSL Certificate Mapping               Interactive
				

Типы маркеров

Разрешен ли доступ к сетевым ресурсам, зависит от Тип маркера олицетворения, в котором обрабатывается запрос.
  • Маркеры сети «» запрещено для доступа к сетевым ресурсам. (Маркеры сети называются так из-за такого рода маркер традиционно создан сервером, если пользователь прошел проверку подлинности в сети. Для разрешить серверу использовать маркер сети в качестве клиента сети и доступ к другому серверу, называется «делегирование» и рассматривается как можно скорее брешь в системе безопасности.)
  • Интерактивные маркеры традиционно используются при проверке подлинности локального пользователя на компьютере. Интерактивные маркеры разрешается доступ к ресурсам в сети.
  • Маркеры пакетного предназначены для обеспечения контекста безопасности, под которым выполнения пакетных заданий. Пакет маркеры имеют доступ к сети.
В IIS существует понятие Открытый текст вход в систему. Открытый текст Это из-за именем входа в систему факт, что IIS имеет доступ к имени пользователя и пароль открытым текстом. Можно управлять ли Открытый текст вход в систему создает маркер сети Интерактивные маркер или маркер пакета путем установки LogonMethod свойство в метабазы. По умолчанию Открытый текст вход в систему получения интерактивной маркер и иметь доступ к сетевым ресурсам. В LogonMethod может быть настроен на сервер, веб-узла, виртуального каталога, каталога или файла.

Анонимный доступ олицетворяет учетную запись, настроен в качестве анонимного пользователя для запроса. По умолчанию IIS обладает одной анонимной учетной записи пользователя именем IUSR_<machinename> , олицетворение при обработке запроса без проверки подлинности. По умолчанию IIS 4.0 имеет настраиваемые возможности называется «Разрешить-автоматическую синхронизацию паролей», использующий безопасности Sub-Authority для создания маркера. Маркеры, созданные таким способом сеть маркеры которого «» нет доступа к другим компьютерам сеть. Если отключить автоматическую синхронизацию пароля IIS создает маркер так же, как<b00></b00></machinename>Открытый текст вход, упомянутых выше. Автоматическую синхронизацию пароля доступна только для учетных записей, которые являются расположены на одном компьютере с IIS. Таким образом Если изменить ваш анонимная учетная запись для учетной записи домена, нельзя использовать Автоматическая синхронизация паролей и будет выдано Открытый текст вход в систему. Исключение: Если установить IIS на основном контроллере домена. В Этот случай учетных записей домена, на локальном компьютере. Анонимный параметр автоматическую синхронизацию пароля и учетной записи может быть настроен на сервере, веб-узла, виртуального каталога, каталог или на уровне файла.

На первом этапе в доступе к ресурсу должен иметь правильный тип маркера в сети. Также необходимо олицетворить учетную запись, имеет доступ к ресурсу в сети. По умолчанию IUSR_<machinename> учетной записи что IIS создает для анонимных запросов существует только на локальном компьютере. Даже в том случае, если отключить автоматическую синхронизацию пароля таким образом, можно получить интерактивную маркер, который может получить доступ к сетевым ресурсам IUSR_<machinename> учетной записи обычно не имеют доступа к Большинство сетевых ресурсов, поскольку это учетная запись, которая не распознан на других компьютерах. Если вы хотите получить доступ к сетевым ресурсам с анонимными запрашивает, необходимо заменить учетную запись по умолчанию с учетная запись домена в сети, который может быть распознан все компьютеры. При установке служб IIS на контроллере домена IUSR_<machinename> учетная запись является учетной записью домена и должен быть распознаваться другими компьютерами в сети без использования дополнительных действие. </machinename></machinename></machinename>


Во избежание неопределенности проблемы

Ниже приведены способы устранения неполадок при доступе к сетевым ресурсам из приложения IIS:
  • Храните файлы на локальном компьютере.
  • Некоторые способы связи сети не требуется проверка безопасности. Пример использует сокеты Windows.
  • Предоставляет прямой доступ к сетевым ресурсам компьютера Настройка виртуального каталога необходимо:
    «Общая папка на другом компьютере».
    Выполняется доступ к компьютеру, являются общими сетевыми ресурсами контекст лица, указанного в разделе Подключиться как... диалоговое окно. Это происходит не Важно настроить тип проверки подлинности для виртуального каталог. С помощью этого параметра, все файлы на сетевом ресурсе доступны из обозревателей, доступ к компьютеру IIS.
  • Используйте обычную проверку подлинности или анонимной проверки подлинности без автоматической синхронизации паролей.

    По умолчанию олицетворение, сервер IIS выполняет для обычной проверки подлинности предоставляет маркер, который может получить доступ к сетевым ресурсам (в отличие от Windows NT запрос/ответ, который содержит маркер, который не может получить доступ к сетевым ресурсам). Для анонимной проверки подлинности маркер доступ только к сетевым ресурсам при отключении автоматической синхронизации паролей. По умолчанию автоматическую синхронизацию пароля включается при первой установке сервера IIS. В такой конфигурации по умолчанию маркер анонимного пользователя нет доступа к сетевым ресурсам.
    259353 Необходимо ввести пароль вручную, после включения синхронизации паролей
  • Настройте анонимную учетную запись как учетную запись домена.

    Это позволит использовать анонимные запросы от потенциальных доступа к ресурсам через сеть. Для предотвращения доступа к сети, все запросы на анонимный пользователь необходимо только внести анонимная учетная запись учетной записью домена на виртуальном каталоги, которые требуют доступ.
  • Настройка учетной записи анонимного пользователя с тем же именем пользователя и пароля на компьютере, общий доступ к сетевым ресурсам и затем отключите автоматическую синхронизацию пароля.

    При этом необходимо убедиться, точно соответствовать пароли. Этот подход должен быть только используется при «Настроить анонимную учетную запись как учетную запись домена» говорили неприемлемо для какой-либо причине.
  • NullSessionShares и NullSessionPipes может использоваться для доступа определенную сетевую папку или именованный канал, который при обработке вашего запроса с маркером сети.

    Если маркер сети и при попытке подключиться к сетевому ресурсу, операционная система пытается установить подключение как подключение без проверки подлинности (так называемые «НУЛЕВОГО сеанса»). Этот параметр реестра должны быть сделаны на компьютере, общий доступ к сетевому ресурсу, не на компьютере служб IIS. Если вы попытайтесь получить доступ к NullSessionShare или NullSessionPipe с работой сети маркер, обычно используется проверка подлинности Microsoft Windows и доступ к ресурс основана на учетной записи правами олицетворяемого пользователя.
  • Потенциально могут выполнять собственную олицетворения для Создайте маркер потока, который имеет доступ к сети.

    В LogonUser функция и очередь ImpersonateLoggedOnUser функция может использоваться для олицетворения другого учетная запись. Для этого требуется наличие открытого текста имя пользователя и пароль другой учетной записи для вашего кода. LogonUser также необходимо учетная запись, которая вызывает LogonUser у «действовать от лица операционной системы» Привилегия в диспетчере пользователей. По умолчанию, большинство пользователей, службы IIS олицетворяют во время обрабатывает запрос HTTP не имеют этого права пользователя. Тем не менее, В процессе «приложения» есть несколько способов заставить ваш текущий контекст безопасности для изменения учетной записи LocalSystem, который выполняет имеются административные учетные данные «Действовать как часть операционной системы». Для библиотек DLL ISAPI выполняться внутри процесса, лучший способ для изменения контекста безопасности что IIS создал учетную запись LocalSystem является вызовПроцедура RevertToSelf функция. При работе IIS-приложения "из Процесс", этот механизм не работает по умолчанию, поскольку процесс под IWAM_<machinename> учетной записи, а не в локальной системе учетная запись. По умолчанию IWAM_<machinename> "" Нет "действовать от лица операционная система"административные учетные данные.</machinename></machinename>
  • Добавить компонент, который вызывается из страницы ASP для приложений сервера COM + или пакета сервера Microsoft Transaction Server (MTS) и укажите определенный пользователем идентификатор пакета.

    Примечание Компонент выполняется в отдельной exe-файл, находящийся вне IIS.
  • С проверкой подлинности basic/clear text рекомендуется зашифровать данные с помощью SSL, так как это очень просто получить учетные данные трассировки сети. Для получения дополнительных сведений об установке SSL щелкните следующий номер статьи базы знаний Майкрософт:
    228991Как создать и установить сертификат SSL в Internet Information Server 4.0
Примечание Не забывайте можно запретить доступ к сети для анонимных запросов, где отключен синхронизации паролей и запросы проходят проверку подлинности с использованием обычной проверки подлинности)Открытый текст вход в систему) при установке LogonMethod Свойство метабазы, "2" (это означает, что при входе в сеть используется для создания маркера олицетворения). Этот параметр только для запросов избежать ограничения сети token всего подключиться к NullSessionShares или NullSessionPipes.

Не используйте буквы дисков, назначенных для общих сетевых ресурсов. Не только есть только 26 возможных букв драйвер для выбора, но при попытке Чтобы использовать букву диска, который сопоставлен в другом контексте безопасности, могут возникнуть проблемы. Вместо этого необходимо всегда использовать формате UNC Имен (UNC) для доступа к ресурсам. Формат должен выглядеть примерно так следующий:
\\MyServer\filesharename\directoryname\filename
Для получения дополнительных сведений об использовании UNC щелкните следующий номер статьи базы знаний Майкрософт:
280383Рекомендации по обеспечению безопасности IIS при использовании общего ресурса UNC
Эта статья относится только к информации в Интернете Server 4.0. В сервере IIS 5.0 (который входит в состав Windows 2000), существуют значительные изменения в новую проверку подлинности возможности и типы. Хотя большинство понятий в этой статье по-прежнему применять в IIS 5.0, применяются сведения о том, какие маркеры олицетворения, создаваемых с помощью схем проверки подлинности, определенных в этой статье исключительно для IIS 4.0.

319067 Как запускать приложения не в контексте системной учетной записи
Если не удается определить тип входа в систему происходит на сервере IIS для обработки запросов, можно включить аудит для входа в систему и выход из системы. Выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Параметры, нажмите кнопку Панель управления, нажмите кнопку Администрирование, а затем нажмите кнопку Локальная политика безопасности.
  2. Откройте локальную политику безопасности, в левой панели дерева щелкните Параметры безопасности, нажмите кнопку Локальные политики, а затем нажмите кнопку Политика аудита.
  3. Дважды щелкните значок Аудит событий входа в систему и выберите команду Успехов и отказов. При записи в журнал событий добавлено в журнале безопасности. Можно определить тип входа в систему Просмотр сведений о событии в списке Тип входа:
2 = Интерактивного обучения
3 = Сети
4 = Пакета
5 = Службы

Ссылки

Для получения дополнительных сведений о безопасности сети щелкните следующие номера статей базы знаний Майкрософт:
124184Служба выполняется как системная учетная запись не выполняется доступ к сети
180362 Службы и виртуальных дисков
319067 Как запускать приложения не в контексте системной учетной записи
280383 Рекомендации по обеспечению безопасности IIS при использовании общего ресурса UNC
259353 Необходимо ввести пароль вручную, после включения синхронизации паролей

Свойства

Код статьи: 207671 - Последний отзыв: 4 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Server 3.0
Ключевые слова: 
kbhowtomaster kbhttp kbmt KB207671 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:207671

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com