Τρόπος ρύθμισης παραμέτρων ενός ASP.NET εφαρμογής για ένα σενάριο πληρεξουσιοδότησης

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 810572 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο ρύθμισης των υπηρεσιών Internet Information Services (IIS) και Active Directory που απαιτούνται για την αντιπροσώπευση των ASP.NET εφαρμογές. Η ανάθεση είναι το επόμενο βήμα μετά απομίμησης. Αντιπροσώπευση υποστηρίζει τη δυνατότητα πρόσβασης σε απομακρυσμένους πόρους για λογαριασμό του προγράμματος-πελάτη αντί για πρόσβαση σε τοπικούς πόρους μόνο. Αυτό το άρθρο περιγράφει τα βήματα που πρέπει να ακολουθήσετε για να αναθέσετε μια ASP.NET συνδεδεμένος εφαρμογής.


Απαιτήσεις για αντιπροσώπευση

Αντιπροσώπευση βασίζεται στον έλεγχο ταυτότητας Windows ενοποιημένης πρόσβασης πόροι. Δεν υπάρχει όριο στον αριθμό των υπολογιστών που μπορείτε να αναθέσετε ο λογαριασμός σας--πρέπει να σωστά ρυθμίσετε τους. Το ολοκληρωμένο Μέθοδος ελέγχου ταυτότητας των Windows λειτουργεί μόνο αν οι ακόλουθες δύο συνθήκες:
  • Ρύθμιση δικτύου σας για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos πρωτόκολλο που απαιτεί υπηρεσία καταλόγου Active Directory.
  • Ορίζετε τους λογαριασμούς και τους υπολογιστές του δικτύου σας ως αξιόπιστο για αντιπροσώπευση.
Εάν αυτές οι συνθήκες δεν, δεν μπορείτε να χρησιμοποιήσετε έλεγχο ταυτότητας των Windows ολοκληρωμένη πρόσβαση δεδομένων σε έναν απομακρυσμένο πόρο, επειδή ο έλεγχος ταυτότητας των Windows ολοκληρωμένων μόνο παρέχει πρόσβαση στο διακομιστή IIS και όχι επιπλέον πόρους έχει ρυθμιστεί για έλεγχο ταυτότητας των Windows που αποκτά απομακρυσμένη πρόσβαση στο διακομιστή IIS.

Ο έλεγχος ταυτότητας Kerberos πραγματοποιεί έλεγχο ταυτότητας του διακομιστή και πελάτη, ότι τα Windows NT Challenge/Response (NTLM) ελέγχει την ταυτότητα του προγράμματος-πελάτη μόνο. Λειτουργικά συστήματα που είναι παλαιότερες από το Windows 2000 δεν υποστηρίζουν τον έλεγχο ταυτότητας Kerberos. Kerberos απαιτεί να χρησιμοποιείτε τις υπηρεσίες IIS 5.0 ή νεότερη έκδοση. Επομένως, πρέπει να εκτελέσετε τα Windows 2000 ή το πιο πρόσφατο λειτουργικό σύστημα σε όλους τους υπολογιστές όπου χρήση αντιπροσώπευσης Kerberos. Επιπλέον, πρέπει να τοποθετήσετε όλους τους υπολογιστές στο ίδιο σύμπλεγμα δομών υπηρεσίας καταλόγου Active Directory. Μόνο Microsoft Internet Explorer 5.0 και νεότερες εκδόσεις υποστηρίζουν Kerberos. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
217098Βασική Επισκόπηση πρωτόκολλο ελέγχου ταυτότητας Kerberos χρήστη στα Windows 2000


Ρυθμίστε τις παραμέτρους του Internet Explorer για αντιπροσώπευση

Όταν χρησιμοποιείτε τον Internet Explorer 5.0 ή νεότερη έκδοση, μπορείτε να ρυθμίσετε τον Internet Explorer για ένα ASP.NET - ανάθεση των υπηρεσιών IIS. Ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε τον Internet Explorer. Στη γραμμή μενού, κάντε κλικ στο κουμπίΕργαλεία, και στη συνέχεια κάντε κλικ στο κουμπί Internet Επιλογές.
  2. Κάντε κλικ στην επιλογή του Για προχωρημένους καρτέλα και στη συνέχεια κάντε κλικ για να Επιλέξτε το Ενεργοποίηση ενσωματωμένου ελέγχου ταυτότητας των Windows (απαιτεί επανεκκίνηση) το πλαίσιο ελέγχου.

    Αυτή η ρύθμιση επιτρέπει στον Internet Explorer να ανταποκριθεί σε μια πρόκληση διαπραγμάτευση και στη συνέχεια να εκτελέσετε έλεγχο ταυτότητας Kerberos. Επειδή αυτή η δυνατότητα απαιτεί Windows 2000 ή νεότερη έκδοση, όταν ο Internet Explorer δεν εκτελείται σε Windows 2000 ή νεότερη έκδοση λειτουργικού συστήματος, ο Internet Explorer δεν ανταποκρίνονται σε μια πρόκληση Negotiate. Από προεπιλογή, ο Internet Explorer χρησιμοποιεί έλεγχο ταυτότητας NTLM, ακόμα και αν κάνετε κλικ για να επιλέξετε το Ενεργοποίηση ενσωματωμένη Έλεγχος ταυτότητας των Windows (απαιτεί επανεκκίνηση) Έλεγχος πλαίσιο.

    Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

  3. Σημείωση Σε υπολογιστές που εκτελούν Microsoft Windows 2000 και νεότερες εκδόσεις, οι διαχειριστές μπορούν να ορίσετε την τιμή της EnableNegotiate REG_DWORD καταχώρηση σε 1 στο ακόλουθο κλειδί μητρώου για την ενεργοποίηση ελέγχου ταυτότητας των Windows ολοκληρωμένων:
    Ρυθμίσεις HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
    .
  4. Υπάρχουν ορισμένα ζητήματα όπου το Kerberos ενδέχεται να αποτύχει σε το Πρόγραμμα-πελάτης του Internet Explorer.Για περισσότερες πληροφορίες σχετικά με ζητήματα που σχετίζονται με τον έλεγχο ταυτότητας Kerberos, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
    321728Ο Internet Explorer δεν υποστηρίζει τον έλεγχο ταυτότητας Kerberos με διακομιστές μεσολάβησης
    325608 Αντιπροσώπευση ελέγχου ταυτότητας Kerberos μέσω του δεν λειτουργεί σε αρχιτεκτονικές εξισορρόπηση φόρτου
    248350 Αποτύχει ο έλεγχος ταυτότητας Kerberos μετά την αναβάθμιση από τις υπηρεσίες IIS 4.0 σε IIS 5.0
    264921 Πώς IIS ελέγχονται τα προγράμματα-πελάτες περιήγησης

Ρύθμιση παραμέτρων των υπηρεσιών IIS για αντιπροσώπευση

Για την ενεργοποίηση ελέγχου ταυτότητας των Windows ολοκληρωμένο και μίμησης για μια ASP.Εφαρμογή συνδεδεμένος NET έχετε για να ρυθμίσετε τις υπηρεσίες Internet Information Services (IIS). Για να ρυθμίσετε τις παραμέτρους για τον έλεγχο ταυτότητας των Windows σε IIS, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπίΕκτέλεση, πληκτρολογήστεinetmgr, και στη συνέχεια κάντε κλικ στο κουμπί OK.
  2. Αναπτύξτε το στοιχείο τοπικό υπολογιστή, και στη συνέχεια, αναπτύξτε το στοιχείοΤοποθεσία Web.
  3. Κάντε δεξιό κλικ Προεπιλεγμένη τοποθεσία Web, και στη συνέχεια Κάντε κλικ στο κουμπί Ιδιότητες.
  4. Κάντε κλικ στην επιλογή του Ασφάλεια καταλόγου καρτέλα, και στη συνέχεια Κάντε κλικ στο κουμπί Επεξεργασία στην περιοχή Ανώνυμη πρόσβαση και έλεγχος ταυτότητας στοιχείο ελέγχου.
  5. Κάντε κλικ για να επιλέξετε το Ενσωματωμένος Windows έλεγχος ταυτότητας το πλαίσιο ελέγχου και στη συνέχεια καταργήστε την επιλογή του Ανώνυμη πρόσβαση, Ο συνοπτικός έλεγχος ταυτότητας για τον τομέα των Windows διακομιστής και Βασικός έλεγχος ταυτότητας Έλεγχος πλαίσια.

    Σημείωση Αν είναι ενεργοποιημένος ο ανώνυμος έλεγχος ταυτότητας, IIS θα προσπαθούν πάντα έλεγχο ταυτότητας, χρησιμοποιώντας πρώτα, ακόμη και αν είναι ενεργοποιημένες οι άλλες μέθοδοι.

    Εάν είναι ανώνυμος έλεγχος ταυτότητας Windows ολοκληρωμένου ελέγχου ταυτότητας και βασικός έλεγχος ταυτότητας όλων ταυτότητας Windows επιλεγμένου, ολοκληρωμένο προηγείται βασικό έλεγχο ταυτότητας μετά τον ανώνυμο έλεγχο ταυτότητας.

Ρυθμίστε τις παραμέτρους του ASP.NET για αντιπροσώπευση

  1. Ανοίξτε ένα αρχείο Web.config σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Σημειωματάριο. Το αρχείο Web.config βρίσκεται στην εφαρμογή Web ο φάκελος.
  2. Στο αρχείο Web.config, εντοπίστε τις ακόλουθες πληροφορίες στο το <configuration> ενότητα:</configuration>
    <allow users="*" /> 
    <deny users="?" />
  3. Στην ενότητα <system.web> , βεβαιωθείτε ότι το στοιχείο ελέγχου ταυτότητας έχει οριστεί σε<b00></b00></system.web>Τα Windows ως εξής:
    <authentication mode="Windows" />
  4. Στην ενότητα <system.web> , προσθέστε τα εξής στοιχείο για την απομίμηση:</system.web>
    <identity impersonate="true" />
  5. Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
    306158Τρόπος υλοποίησης απομίμησης σε μια ASP.NET εφαρμογής
    317012 Ταυτότητα αίτησης και διαδικασίας στο ASP.NET
    315736 Πώς να ασφαλίσετε μια ASP.NET εφαρμογής χρησιμοποιώντας την ασφάλεια των Windows

Ρύθμιση παραμέτρων της υπηρεσίας καταλόγου Active Directory για αντιπροσώπευση

Αντιπροσώπευση πρέπει να είναι ενεργοποιημένη σε όλους τους υπολογιστές με διαπιστευτήρια πληρεξούσιο. Μπορεί να είναι έχει ρυθμιστεί στα εργαλεία της υπηρεσίας καταλόγου Active Directory.

Για περισσότερες πληροφορίες, επισκεφθείτε τις ακόλουθες τοποθεσίες της Microsoft στο Web:
Επιτρέψετε σε έναν υπολογιστή να είναι αξιόπιστος για αντιπροσώπευση
http://technet2.Microsoft.com/windowsserver/en/library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Οι λογαριασμοί χρήστη και υπολογιστή
http://technet2.Microsoft.com/windowsserver/en/library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
Το Βασική διαδικασία IIS, InetInfo.exe, είναι μια υπηρεσία που εκτελείται από τον LocalSystem λογαριασμού και είναι η διαδικασία που κάνει τα εξής:
  • Λαμβάνει αίτηση προγράμματος-πελάτη
  • Υποδύεται το χρήστη
  • Πραγματοποιεί τις κατάλληλες εργασίες
  • Επιστρέφει την ταυτότητα διεργασίας. Αυτό είναι LocalSystem
Εάν εκτελείτε το αρχείο InetInfo.exe σε ένα λογαριασμό που είναι διαφορετική από LocalSystem, πρέπει να βεβαιωθείτε ότι ο λογαριασμός επιτρέπεται να ενεργεί ως ένα πληρεξούσιο. Στην περίπτωση αυτή, ρυθμίστε τον υπολογιστή για αντιπροσώπευση.

Αντιμετώπιση προβλημάτων

  1. Εάν το όνομα διακομιστή Web που χρησιμοποιείτε στη διεύθυνση URL για να καλέσετε το ASP.NET σελίδας δεν είναι το όνομα NetBIOS του υπολογιστή IIS, ο ενσωματωμένος έλεγχος ταυτότητας ενδέχεται να αποτύχει με σφάλμα 401.3. Για να επιλύσετε αυτό το ζήτημα, καταχωρήστε ένα νέο όνομα αρχής υπηρεσίας για τον υπολογιστή με το βοηθητικό πρόγραμμα SetSPN.exe.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    294382Ο έλεγχος ταυτότητας ενδέχεται να αποτύχει με σφάλμα "401.3" Εάν η τοποθεσία Web "κεφαλίδα κεντρικού υπολογιστή" διαφέρει από το όνομα NetBIOS του διακομιστή
  2. Kerberos δεν λειτουργεί σε μια αρχιτεκτονική εξισορρόπηση φορτίου και IIS πέφτει πίσω τον έλεγχο ταυτότητας NTLM. Επειδή δεν μπορείτε να χρησιμοποιήσετε το NTLM για αντιπροσώπευση, εφαρμογές ή υπηρεσίες που απαιτούν αντιπροσώπευσης δεν λειτουργούν.Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    325608Αντιπροσώπευση ελέγχου ταυτότητας Kerberos μέσω του δεν λειτουργεί σε αρχιτεκτονικές εξισορρόπηση φόρτου
  3. Για το Kerberos για να λειτουργήσει σωστά, πρέπει να χρησιμοποιείτε πλήρως τα έγκυρα ονόματα τομέα (FQDN) για όλους την επικοινωνία.
  4. Όταν χρησιμοποιείτε τον Internet Explorer σε έναν υπολογιστή-πελάτη των Windows 2000 και στη συνέχεια, μπορείτε να εντοπίσετε μια τοποθεσία Web όπου το όνομα κεφαλίδας κεντρικού υπολογιστή είναι διαφορετικό από το Όνομα NetBIOS του υπολογιστή, ο ενσωματωμένος έλεγχος ταυτότητας ενδέχεται να αποτύχει με σφάλμα 401.3. Σημειώστε ότι ο Internet Explorer πελάτες που χρησιμοποιούν Windows NT 4 ή Windows 98 ή τα Windows 95 θα αποτύχει. Επίσης, θα άλλους συνδυασμούς ελέγχου ταυτότητας εργασία.
  5. Εάν ο διακομιστής Web χρησιμοποιεί ένα πλήρως αναγνωρισμένο όνομα τομέα, πρέπει να προσθέσετε την τοποθεσία προστίθεται στη λίστα των τοποθεσιών intranet του Internet Explorer. Για να βεβαιωθείτε ότι ο διακομιστής Web χρησιμοποιεί ένα πλήρως αναγνωρισμένο όνομα τομέα, ακολουθήστε τα εξής βήματα:
    1. Ξεκινήστε τον Internet Explorer.
    2. Από το Εργαλεία μενού, κάντε κλικ στο κουμπί Επιλογές Internet, και στη συνέχεια επιλέξτε το Ασφαλείαςστην καρτέλα.
    3. Κάντε κλικ στην επιλογή Τοπικό intranet. Κάντε κλικ στο κουμπί Τοποθεσίες.
    4. Κάντε κλικ στο κουμπί Προκαταβολή, και στη συνέχεια πληκτρολογήστε στο Web διεύθυνση του Προσθήκη αυτής της τοποθεσίας Web στη ζώνη στο παράθυρο διαλόγου. Κάντε κλικ στο κουμπί Προσθήκη, και στη συνέχεια κάντε κλικ στο κουμπί OK.
  6. Εάν το πρόγραμμα-πελάτη του Internet Explorer έχει ρυθμιστεί να χρησιμοποιεί διακομιστή μεσολάβησης, πρέπει να κλικ για να επιλέξετε το Παράκαμψη διακομιστή μεσολάβησης για τοπικές διευθύνσεις το πλαίσιο ελέγχου. Για να βεβαιωθείτε ότι το πρόγραμμα-πελάτη του Internet Explorer ορίσετε ένα διακομιστή μεσολάβησης, ακολουθήστε τα εξής βήματα:
    1. Ξεκινήστε τον Internet Explorer.
    2. Από το Εργαλεία μενού, κάντε κλικ στο κουμπί Επιλογές Internet, και στη συνέχεια επιλέξτε το Συνδέσεις στην καρτέλα.
    3. Κάντε κλικ στο κουμπί LAN Ρυθμίσεις. Στην περιοχή διακομιστή μεσολάβησης διακομιστή, βεβαιωθείτε ότι το Παράκαμψη διακομιστή μεσολάβησης για τοπική διεύθυνσηπλαίσιο ελέγχου είναι επιλεγμένο.
  7. Εάν θέλετε να αποκτήσετε πρόσβαση σε ένα διακομιστή SQL από σας ASP.NET συνδεδεμένος εφαρμογής πρέπει να χρησιμοποιήσετε TCP/IP. Υποστηρίζει επώνυμες διοχετεύσεις Αντιπροσώπευσης Kerberos. Όνομα διοχετεύσεις NTLM μόνο για χρήση. Για να το κάνετε αυτό, προσθέστε τα εξής χαρακτηριστικό της συμβολοσειράς σύνδεσης:
    "Network Library =dbmssocn"
    Εάν δεν ορίσετε ρητά τη βιβλιοθήκη δικτύου, NTLM να λαμβάνει την πρώτη βιβλιοθήκη εγκατάστασης του βοηθητικού προγράμματος ρύθμισης παραμέτρων υπολογιστή-πελάτη (Cliconfg.exe). Αυτή η προεπιλογή άλλαξε από επώνυμες διοχετεύσεις TCP/IP στα Microsoft Data Access Components (MDAC) 2.6.
    Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
    315159Σφάλμα: Επώνυμες διοχετεύσεις δεν λειτουργούν όταν η διαδικασία εργασίας εκτελείται στο λογαριασμό ASPNET
    247931 Μέθοδοι ελέγχου ταυτότητας για συνδέσεις με SQL Server σε ενεργές σελίδες διακομιστή

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο σχεδίασης πιο ασφαλείς με βάση το Web εφαρμογές και σενάρια αντιπροσώπευση, επισκεφθείτε την παρακάτω Microsoft Developer Τοποθεσία Web Network (MSDN):
http://msdn2.Microsoft.com/en-us/library/aa302415.aspx
Για περισσότερες πληροφορίες σχετικά με τον τρόπο σχεδίασης ασφάλεια που βασίζεται στο Web εφαρμογές, ανατρέξτε στα παρακάτω:
Σχεδίαση ασφαλείς εφαρμογές Web"
Microsoft Πιέστε το πλήκτρο
Michael Howard, εισφορά στεμφύλων και ο Γιώργος Waymire
ISBN 0-7356-0995-0

Ιδιότητες

Αναγν. άρθρου: 810572 - Τελευταία αναθεώρηση: Κυριακή, 29 Μαΐου 2011 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
  • Οδηγός Microsoft Internet Information Services 6.0
Λέξεις-κλειδιά: 
kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto kbmt KB810572 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:810572

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com