Come configurare un'applicazione ASP.NET per uno scenario di delega

Traduzione articoli Traduzione articoli
Identificativo articolo: 810572 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come configurare Internet Information Services (IIS) e Active Directory necessari per la delega dell'applicazioni ASP.NET. La delega Ŕ il passaggio successivo dopo la rappresentazione. Delega supporta la possibilitÓ di accedere alle risorse remote per conto del client invece dell'accesso alle risorse locali. In questo articolo viene descritta la procedura che Ŕ necessario eseguire per delegare un'applicazione basate su ASP.NET.


Requisiti per la delega

Delega si basa sull'autenticazione integrata di Windows per accedere alle risorse. Non esiste un limite al numero di computer che Ŕ possibile delegare l'account, Ŕ necessario configurare correttamente ciascuno di essi. Integrata il metodo di autenticazione di Windows funziona solo se sono presenti le seguenti due condizioni:
  • Per configurare la rete per utilizzare il protocollo di autenticazione Kerberos richiede Active Directory.
  • ╚ impostare gli account e i computer sulla rete come trusted per delega.
Se queste condizioni non sono true, non Ŕ possibile utilizzare l'autenticazione integrata di Windows per accedere a una risorsa remota, poichÚ l'autenticazione integrata di Windows solo consente di accedere al server IIS e non le risorse aggiuntive configurate per l'autenticazione Windows che accede in remoto il server IIS.

L'autenticazione Kerberos autentica il server e il client, mentre Windows NT Challenge/Response (NTLM) autentica il client solo. I sistemi operativi precedenti a Windows 2000 non supportano l'autenticazione Kerberos. Kerberos richiede l'utilizzo di IIS 5.0 o versione successiva. Di conseguenza, Ŕ necessario eseguire Windows 2000 o un sistema operativo pi¨ recente su tutti i computer in cui si utilizza la delega Kerberos. Inoltre, Ŕ necessario inserire tutti i computer in stesso insieme di strutture di Active Directory. Kerberos sono supportate in solo Microsoft Internet Explorer 5.0 e versioni successive. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
217098Protocollo di autenticazione Kerberos utente in Windows 2000 per informazioni generali


Configurare Internet Explorer per la delega

Quando si utilizza Internet Explorer 5.0 o versioni successive, Ŕ possibile configurare Internet Explorer per ASP.NET - IIS delega. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Avviare Internet Explorer. Fare clic su Strumenti sulla barra dei menu e quindi fare clic su Opzioni Internet .
  2. Fare clic sulla scheda Avanzate e quindi fare clic su per selezionare la casella di controllo Abilita autenticazione Windows integrata (sarÓ necessario riavvio) .

    Questa impostazione consente di rispondere a una richiesta di negoziazione di Internet Explorer e quindi eseguire l'autenticazione Kerberos. PoichÚ questa funzionalitÓ richiede Windows 2000 o versioni successive, quando Internet Explorer non Ŕ in esecuzione in un Windows 2000 o versione successivo del sistema operativo, quindi Internet Explorer non risponde a una richiesta Negotiate. Per impostazione predefinita, Internet Explorer utilizza l'autenticazione NTLM, anche se seleziona la casella di controllo Abilita autenticazione Windows integrata (richiede riavvio) .

    importante Questa sezione, metodo o l'attivitÓ sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, Ŕ eseguire il backup del Registro di sistema prima di modificarlo. ╚ quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    322756Come eseguire il backup e il ripristino del Registro di sistema in Windows

  3. Nota Nei computer che eseguono Microsoft Windows 2000 e versioni successive, Ŕ possono che gli amministratori di impostare il valore della voce REG_DWORD EnableNegotiate su 1 nella seguente chiave del Registro di sistema per attivare l'autenticazione integrata di Windows:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    .
  4. Esistono alcuni problemi Kerberos potrebbe non riuscire nel client Internet Explorer. Per ulteriori informazioni sui problemi relativi all'autenticazione Kerberos, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
    321728Internet Explorer non supporta l'autenticazione Kerberos con server proxy
    325608Delega di autenticazione tramite Kerberos non funziona in architetture a carico bilanciato
    248350L'autenticazione Kerberos non riesce dopo l'aggiornamento da IIS 4.0 a IIS 5.0
    264921Come IIS esegue l'autenticazione dei client browser

Configurare IIS per la delega

Per attivare l'autenticazione integrata di Windows e la rappresentazione per un'applicazione basate su ASP.NET, Ŕ necessario configurare Internet Information Services (IIS). Per configurare per l'autenticazione di Windows in IIS, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare inetmgr e quindi fare clic su OK .
  2. Espandere il computer locale e quindi espandere sito Web .
  3. Fare clic con il pulsante destro del mouse sul sito Web predefinito e quindi fare clic su ProprietÓ .
  4. Fare clic sulla scheda Protezione Directory e quindi fare clic su Modifica in controllo autenticazione e accesso anonimo .
  5. Fare clic per selezionare il integrata di Windows l'autenticazione casella di controllo e quindi deselezionare le caselle di controllo accesso anonimo , autenticazione del digest per server di dominio di Windows e Autenticazione di base .

    Nota Se Ŕ attivata l'autenticazione anonima, IIS cercherÓ sempre per l'autenticazione utilizzando in primo luogo, anche se altri metodi sono attivati.

    Se l'autenticazione anonima, l'autenticazione integrata di Windows e l'autenticazione di base sono tutti i autenticazione di Windows selezionata, integrata ha la precedenza sull'autenticazione di base, dopo l'autenticazione anonima.

Configurare ASP.NET per la delega

  1. Aprire un file Web.config in un editor di testo, ad esempio il blocco note. Il file di Web.config si trova nell'applicazione Web cartella.
  2. Nel file Web.config, individuare le informazioni seguenti nella sezione <configuration>:
    <allow users="*" /> 
    <deny users="?" />
  3. Nella sezione <System.web>, verificare che l'elemento authentication sia impostato Windows come segue:
    <authentication mode="Windows" />
  4. Nella sezione <System.web>, aggiungere l'elemento seguente per la rappresentazione:
    <identity impersonate="true" />
  5. Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
    306158Come implementare la rappresentazione in un'applicazione ASP.NET
    317012IdentitÓ di processo e della richiesta in ASP.NET
    315736Come proteggere un'applicazione ASP.NET utilizzando la protezione di Windows

Configurare Active Directory per la delega

La delega deve essere abilitata in tutti i computer con credenziali di delegato. Pu˛ essere configurato negli strumenti di Active Directory.

Per ulteriori informazioni, visitare i seguenti siti Web Microsoft:
Rendere un computer trusted per delega
http://technet2.microsoft.com/windowsserver/en/library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Account utente e computer
http://technet2.microsoft.com/windowsserver/en/library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
Il processo IIS, InetInfo.exe, principale Ŕ un servizio eseguito LocalSystem l'account ed Ŕ il processo che esegue le operazioni seguenti:
  • Accetta la richiesta del client
  • Rappresenta l'utente
  • Esegue le attivitÓ appropriate
  • Ripristina l'identitÓ del processo. Questo Ŕ LocalSystem
Se in esecuzione InetInfo.exe con un account diverso da LocalSystem, Ŕ necessario verificare che all'account Ŕ consentito come un delegato. In questo caso, non configurare il computer per la delega.

Risoluzione dei problemi

  1. Se il nome del server Web utilizzabili nell'URL per chiamare la pagina ASP.NET non Ŕ il nome NetBIOS del computer IIS, Ŕ possibile che non l'autenticazione integrata effettuata con errore 401.3. Per risolvere il problema, Ŕ possibile registrare un nuovo nome principale del servizio per il computer con l'utilitÓ SetSPN.exe. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    294382Autenticazione possibile errore con errore "401.3" Se "Intestazione un sito Web host" differisce dal nome NetBIOS del server
  2. Kerberos non funziona in un'architettura a carico bilanciato e IIS raggiunge l'autenticazione NTLM. PoichÚ non Ŕ possibile utilizzare il NTLM per la delega, applicazioni o servizi che richiedono la delega non funzionano. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    325608Delega di autenticazione tramite Kerberos non funziona in architetture a carico bilanciato
  3. Per Kerberos per il corretto funzionamento, Ŕ necessario utilizzare nomi di dominio completi (FQDN) per tutte le comunicazioni.
  4. Quando si utilizza Internet Explorer su un client di Windows 2000 e quindi individuare un sito Web in cui il nome di intestazione di host Ŕ diverso dal nome NetBIOS del computer, autenticazione integrata potrebbe non riuscire con errore 401.3. Si noti che i client di Internet Explorer che utilizzano Windows NT 4 o Windows 98 o Windows 95 non avrÓ esito negativo. Inoltre, altri schemi di autenticazione non funzionerÓ.
  5. Se il server Web utilizza un nome di dominio completo, Ŕ necessario aggiungere che il sito viene aggiunto all'elenco di siti intranet in Internet Explorer. Per verificare che il server Web utilizza un nome di dominio completo, attenersi alla seguente procedura:
    1. Avviare Internet Explorer.
    2. Fare clic su Opzioni Internet dal menu Strumenti , quindi la protezione scheda.
    3. Fare clic per selezionare intranet locale . Fare clic su siti .
    4. Fare clic su Avanzate e quindi digitare la Web indirizzo nella finestra di dialogo Aggiungi il sito Web all'area . Fare clic su Aggiungi e quindi fare clic su OK .
  6. Se il client di Internet Explorer Ŕ impostato per l'utilizzo di un server proxy, devi fare clic su per selezionare la casella di controllo Ignora di server proxy per indirizzi locali . Per verificare che il client di Internet Explorer Ŕ impostato per l'utilizzo di un server proxy, questo attenersi alla seguente procedura:
    1. Avviare Internet Explorer.
    2. Fare clic su Opzioni Internet dal menu Strumenti , quindi la scheda connessioni .
    3. Fare clic su impostazioni LAN . In proxy server, verificare che le Ignora server proxy per indirizzi locali di controllo Ŕ selezionata.
  7. Se si desidera accedere a SQL Server dall'applicazione basate su ASP.NET, Ŕ necessario utilizzare TCP/IP. Named pipe non supportano la delega Kerberos. Nome pipe utilizzare NTLM solo. A tale scopo, aggiungere il seguente attributo alla stringa di connessione:
    "Network Library =dbmssocn"
    se non si imposta in modo esplicito la libreria di rete, la funzione NTLM avrÓ l'impostazione di libreria prima nel client utilitÓ di configurazione (Cliconfg.exe). Questa impostazione modificata da named pipes a TCP/IP in Microsoft Data Access Components (MDAC) 2.6.
    Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
    315159BUG: Named pipe non funzionano quando viene eseguito il processo di lavoro con account ASPNET
    247931Metodi di autenticazione per connessioni a SQL Server nelle pagine ASP

Riferimenti

Per ulteriori informazioni su come progettare pi¨ proteggere le applicazioni basate sul Web e scenari di delega, visitare il seguente sito Web MSDN (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/library/aa302415.aspx
Per ulteriori informazioni su come progettare applicazioni Web protette, vedere quanto segue:
Progettazione Secure Web-based Applications"
Microsoft Press
Michael Howard, Marc tassa e Richard Waymire
ISBN 0-7356-0995-0

ProprietÓ

Identificativo articolo: 810572 - Ultima modifica: lunedý 3 dicembre 2007 - Revisione: 8.8
Le informazioni in questo articolo si applicano a:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
Chiavi:á
kbmt kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto KB810572 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 810572
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com