Como configurar uma aplicação do ASP.NET para um cenário de delegação

Traduções de Artigos Traduções de Artigos
Artigo: 810572 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como configurar serviços de informação Internet (IIS) e do Active Directory necessários para delegação de aplicações do ASP.NET. A delegação é o passo seguinte depois de representação. Delegação suporta a capacidade de aceder a recursos remotos em nome do cliente em vez de aceder a recursos locais apenas. Este artigo descreve os passos que deve tomar para delegar uma aplicação ASP.NET ligados.


Requisitos para delegação

Delegação depende de autenticação integrada do Windows para aceder a recursos. Não existe um limite no número de computadores que pode delegar a conta--correctamente tem de configurar cada um deles. O integrados o método de autenticação do Windows funciona apenas se as seguintes duas condições:
  • Configurar a rede para utilizar o protocolo de autenticação Kerberos requer o Active Directory.
  • Configurar computadores e contas na rede como fidedigno para delegação.
Se estas condições não for verdadeiras, não pode utilizar autenticação integrada do Windows para aceder a dados no recurso remoto porque a autenticação integrada do Windows só permite o acesso para o servidor de IIS e não para os recursos adicionais configurados para autenticação do Windows que o servidor de IIS aceda remotamente.

A autenticação Kerberos autentica o servidor e cliente, enquanto que o Windows NT Challenge/Response (NTLM) autentica o cliente só. Sistemas operativos que são anteriores ao Windows 2000 não suportam a autenticação Kerberos. Kerberos requer que utilize o IIS 5.0 ou posterior. Por conseguinte, tem de executar Windows 2000 ou um sistema operativo mais recente em todos os computadores em que utilizar a delegação Kerberos. Além disso, tem de colocar todos os computadores na mesma floresta do Active Directory. Apenas Microsoft Internet Explorer 5.0 e versões posteriores suportam Kerberos. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
217098Descrição geral básica do protocolo de autenticação Kerberos utilizador no Windows 2000


Configure o Internet Explorer para delegação

Quando utiliza o Internet Explorer 5.0 ou versões posteriores, pode configurar o Internet Explorer para ASP.NET - delegação do IIS. Para o fazer, siga estes passos:
  1. Inicie o Internet Explorer. Na barra de menu, clique em Ferramentas e, em seguida, clique em Opções da Internet .
  2. Clique no separador Avançadas e, em seguida, clique em para seleccionar a caixa de verificação Activar autenticação integrada do Windows (requer reinicialização) .

    Esta definição permite que o Internet Explorer para responder a uma pergunta de negociar e, em seguida, para efectuar a autenticação Kerberos. Uma vez que esta funcionalidade requer o Windows 2000 ou posterior, quando o Internet Explorer não está em execução num Windows 2000 ou versão posterior, em seguida, do Internet Explorer não responde a uma pergunta de negociar. Por predefinição, Internet Explorer utiliza a autenticação NTLM, mesmo que clique para seleccionar a caixa de verificação Activar autenticação integrada do Windows (requer reinicialização) .

    importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    322756Como efectuar uma cópia de segurança e restaurar o registo no Windows

  3. Nota Em computadores com o Microsoft Windows 2000 e versões posteriores, os administradores podem defina o valor da entrada REG_DWORD EnableNegotiate como 1 na seguinte chave de registo para activar a autenticação integrada do Windows:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    .
  4. Existem alguns problemas em que Kerberos poderá falhar no cliente do Internet Explorer. Para obter mais informações sobre problemas relacionados com a autenticação Kerberos, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
    321728Internet Explorer não suporta a autenticação Kerberos com servidores proxy
    325608Delegação de autenticação através de Kerberos não funciona em arquitecturas com balanceamento de carga
    248350A autenticação Kerberos falha depois de actualizar a partir do IIS 4.0 para o IIS 5.0
    264921Como o IIS autentica clientes de browser

Configurar o IIS para delegação

Para activar a autenticação integrada do Windows e de representação para uma aplicação ASP.NET ligados, tem de configurar serviços de informação Internet (IIS). Para configurar para autenticação do Windows no IIS, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva inetmgr e, em seguida, clique em OK .
  2. Expanda computador local e, em seguida, expanda Web site .
  3. Clique com o botão direito do rato Web site predefinido e, em seguida, clique em Propriedades .
  4. Clique no separador Segurança de directórios e, em seguida, clique em Editar em controlo de acesso anónimo e autenticação .
  5. Clique para seleccionar o integrada do Windows autenticação caixa de verificação e, em seguida, clique para desmarcar as caixas de verificação acesso anónimo , A autenticação condensada para servidor de domínio do Windows e Autenticação básica .

    Nota Se a autenticação anónima for activada, o IIS tentará sempre autenticar utilizando-o pela primeira vez, mesmo se outros métodos forem activados.

    Se autenticação anónima, autenticação integrada do Windows e autenticação básica autenticação do Windows integrada, seleccionado todos os prevalece sobre a autenticação básica, após a autenticação anónima.

Configurar o ASP.NET para delegação

  1. Abra um ficheiro Web.config num editor de texto, tal como o bloco de notas. O ficheiro Web.config está localizado na aplicação Web pasta.
  2. No ficheiro Web.config, localize as informações seguintes na secção <configuration>:
    <allow users="*" /> 
    <deny users="?" />
  3. Na secção <System.web>, verifique se o elemento de autenticação é definido como Windows , da seguinte forma:
    <authentication mode="Windows" />
  4. Na secção <System.web>, adicione o elemento seguinte de representação:
    <identity impersonate="true" />
  5. Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
    306158Como implementar a representação numa aplicação do ASP.NET
    317012Identidade de processo e um pedido no ASP.NET
    315736Como proteger uma aplicação do ASP.NET utilizando a segurança do Windows

Configure o Active Directory para delegação

Delegação tem de ser activada em todos os computadores com credenciais de delegado. Podem ser configurado nas ferramentas do Active Directory.

Para obter mais informações, visite os seguintes Web sites da Microsoft:
Permitir que um computador seja considerado fidedigno para delegação
http://technet2.microsoft.com/windowsserver/en/library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Contas de utilizador e computador
http://technet2.microsoft.com/windowsserver/en/library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
O processo do IIS, InetInfo.exe, núcleo é um serviço que seja executado no sistema local contas e é o processo que efectua o seguinte:
  • Tira o pedido do cliente
  • Personifica o utilizador
  • Executa as tarefas apropriadas
  • Reverte para a identidade do processo. Isto é sistema local
Se estiver a executar InetInfo.exe sob uma conta diferente do sistema local, tem de verificar que a conta está autorizada a agir como um delegado. Neste caso, não configure o computador fidedigno para delegação.

Resolução de problemas

  1. Se o nome de servidor Web que utiliza no URL para chamar a página do ASP.NET não é o nome NetBIOS do computador do IIS, a autenticação integrada poderá falhar com o erro 401.3. Para resolver este problema, registe um novo nome de principal de serviço para o computador com o utilitário SetSPN.exe. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    294382Autenticação poderá falhar com o erro "401.3" Se for diferente "Cabeçalho do Web site de anfitrião" do nome de NetBIOS do servidor
  2. Kerberos não funciona numa arquitectura com balanceamento de carga e IIS descer novamente para a autenticação NTLM. Uma vez que não é possível utilizar NTLM para delegação, quaisquer aplicações ou serviços que necessitem de delegação não funcionam. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    325608Delegação de autenticação através de Kerberos não funciona em arquitecturas com balanceamento de carga
  3. Para Kerberos funcionar correctamente, tem de utilizar nomes de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) para todas as comunicações.
  4. Quando utilizar o Internet Explorer num cliente Windows 2000 e, em seguida, localizar um Web site onde o nome de cabeçalho de anfitrião é diferente do nome de NetBIOS do computador, A autenticação integrada do poderá falhar com o erro 401.3. Tenha em atenção que os clientes do Internet Explorer que utilizam Windows NT 4 ou Windows 98 ou Windows 95 não irão falhar. Além disso, outros esquemas de autenticação funcionará.
  5. Se o servidor Web utiliza um nome de domínio totalmente qualificado, terá de adicionar que o site é adicionado à lista de sites da intranet no Internet Explorer. Para verificar se o servidor Web utiliza um nome de domínio totalmente qualificado, siga estes passos:
    1. Inicie o Internet Explorer.
    2. No menu Ferramentas , clique em Opções da Internet e, em seguida, clique na segurança separador.
    3. Clique para seleccionar intranet local . Clique em sites .
    4. Clique em Avançadas e, em seguida, escreva endereço Web na caixa de diálogo Adicionar este Web site à zona . Clique em Adicionar e, em seguida, clique em OK .
  6. Se o cliente do Internet Explorer estiver definido para utilizar um servidor proxy, tem de clique para seleccionar a caixa de verificação Ignorar servidor de proxy para endereços locais . Para verificar que o cliente do Internet Explorer está definido para utilizar um servidor proxy, siga estes passos:
    1. Inicie o Internet Explorer.
    2. No menu Ferramentas , clique em Opções da Internet e, em seguida, clique no separador ligações .
    3. Clique em definições de rede local . Em proxy servidor, certifique-se que a Ignorar servidor proxy para endereços locais verificar caixa está seleccionada.
  7. Se pretender aceder a um servidor de SQL da aplicação ligada à ASP.NET, tem de utilizar TCP/IP. Pipes nomeados não suportam a delegação Kerberos. O nome apenas encaminhamentos (pipes) utilizar NTLM. Para tal, adicione o seguinte atributo à cadeia de ligação:
    "Network Library =dbmssocn"
    se não definir explicitamente a biblioteca de rede, o NTLM demora a primeira configuração de biblioteca no cliente do utilitário de configuração (cliconfg.exe). Esta predefinição mudada de nome pipes para TCP/IP no Microsoft Data Access Components (MDAC) 2.6.
    Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
    315159Erro: O pipes com nome não funcionam quando o processo de trabalho é executado na conta ASPNET
    247931Métodos de autenticação para ligações ao SQL Server na Active Server Pages

Referências

Para mais informações sobre a estrutura mais seguro aplicações baseadas na Web e cenários de delegação, visite o seguinte Web site da Microsoft Developer Network (MSDN):
http://msdn2.microsoft.com/en-us/library/aa302415.aspx
Para mais informações sobre como criar aplicações baseadas na Web seguras, consulte o seguinte:
Estruturar seguro Web-Based Applications"
A Microsoft Press
Michael Howard Marc Levy e Richard Waymire
ISBN 0-7356-0995-0

Propriedades

Artigo: 810572 - Última revisão: 3 de dezembro de 2007 - Revisão: 8.8
A informação contida neste artigo aplica-se a:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbmt kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto KB810572 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 810572

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com