Τρόπος ρύθμισης των παραμέτρων μιας εφαρμογής ASP.NET για ένα σενάριο πληρεξουσιοδότησης

Σύνοψη

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο ρύθμισης παραμέτρων των υπηρεσιών Internet Information Services (IIS) και της υπηρεσίας καταλόγου Active Directory για αντιπροσώπευση των εφαρμογών ASP.NET. Η ανάθεση είναι το επόμενο βήμα μετά απομίμησης. Αντιπροσώπευση υποστηρίζει τη δυνατότητα πρόσβασης σε απομακρυσμένους πόρους για λογαριασμό του προγράμματος-πελάτη αντί για πρόσβαση σε τοπικούς πόρους μόνο. Αυτό το άρθρο περιγράφει τα βήματα που πρέπει να ακολουθήσετε για να αναθέσετε μια εφαρμογή ASP.NET συνδεδεμένος.

Επιστροφή στην κορυφή

Απαιτήσεις για αντιπροσώπευση

Αντιπροσώπευση βασίζεται σε ενσωματωμένο έλεγχο ταυτότητας των Windows για πρόσβαση σε πόρους. Δεν υπάρχει όριο στον αριθμό των υπολογιστών που μπορείτε να αναθέσετε ο λογαριασμός σας--πρέπει να ρυθμίσετε σωστά τους. Η μέθοδος ελέγχου ταυτότητας ενσωματωμένος Windows λειτουργεί μόνο αν ισχύουν οι ακόλουθες δύο συνθήκες:
  • Μπορείτε να ορίσετε το δίκτυό σας για χρήση του πρωτοκόλλου ελέγχου ταυτότητας Kerberos που απαιτεί υπηρεσία καταλόγου Active Directory.
  • Ορίζετε τους λογαριασμούς και τους υπολογιστές του δικτύου σας ως αξιόπιστο για αντιπροσώπευση.
Εάν δεν ισχύουν αυτές οι συνθήκες, δεν μπορείτε να χρησιμοποιήσετε ολοκληρωμένος έλεγχος ταυτότητας Windows για την πρόσβαση δεδομένων σε έναν απομακρυσμένο πόρο, επειδή ο ολοκληρωμένος έλεγχος ταυτότητας Windows παρέχει μόνο πρόσβαση στο διακομιστή των υπηρεσιών IIS και όχι οι πρόσθετοι πόροι που έχει ρυθμιστεί για έλεγχο ταυτότητας των Windows που ο διακομιστής των υπηρεσιών IIS έχει πρόσβαση σε απομακρυσμένα.

Ο έλεγχος ταυτότητας Kerberos ελέγχει την ταυτότητα του διακομιστή και του υπολογιστή-πελάτη, ότι τα Windows NT Challenge/Response (NTLM) εκτελεί έλεγχο ταυτότητας του υπολογιστή-πελάτη μόνο. Λειτουργικά συστήματα που είναι παλαιότερες από τα Windows 2000 δεν υποστηρίζουν τον έλεγχο ταυτότητας Kerberos. Το Kerberos απαιτεί να χρησιμοποιείτε τις υπηρεσίες IIS 5.0 ή νεότερη έκδοση. Επομένως, πρέπει να εκτελέσετε τα Windows 2000 ή ένα πιο πρόσφατο λειτουργικό σύστημα σε όλους τους υπολογιστές όπου χρήση αντιπροσώπευσης Kerberos. Επιπλέον, πρέπει να τοποθετήσετε όλους τους υπολογιστές του ίδιου συμπλέγματος δομών της υπηρεσίας καταλόγου Active Directory. Μόνο Microsoft Internet Explorer 5.0 και νεότερες εκδόσεις υποστηρίζουν Kerberos.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

217098 βασική επισκόπηση πρωτόκολλο ελέγχου ταυτότητας του Kerberos χρήστη στα Windows 2000


Επιστροφή στην κορυφή

Ρυθμίστε τις παραμέτρους του Internet Explorer για αντιπροσώπευση

Όταν χρησιμοποιείτε τον Internet Explorer 5.0 ή νεότερη έκδοση, μπορείτε να ρυθμίσετε το Internet Explorer για μια ASP.NET - ανάθεση των υπηρεσιών IIS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε τον Internet Explorer. Στη γραμμή μενού, κάντε κλικ στο κουμπί
    Εργαλεία, και στη συνέχεια κάντε κλικ στην εντολή Επιλογές Internet.
  2. Κάντε κλικ στην καρτέλα για προχωρημένους και στη συνέχεια κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Ενεργοποίηση ενσωματωμένο έλεγχο ταυτότητας των Windows (απαιτεί επανεκκίνηση) .

    Αυτή η ρύθμιση επιτρέπει στον Internet Explorer να ανταποκριθεί σε μια πρόκληση διαπραγμάτευση και στη συνέχεια να εκτελέσετε έλεγχο ταυτότητας Kerberos. Επειδή αυτή η δυνατότητα απαιτεί Windows 2000 ή νεότερη έκδοση, όταν ο Internet Explorer δεν λειτουργεί με Windows 2000 ή νεότερη έκδοση λειτουργικού συστήματος, στη συνέχεια, Internet Explorer δεν ανταποκρίνεται σε μια πρόκληση Negotiate. Από προεπιλογή, το Internet Explorer χρησιμοποιεί έλεγχο ταυτότητας NTLM, ακόμα και αν κάνετε κλικ στο κουμπί για να επιλέξετε το πλαίσιο ελέγχου Ενεργοποίηση ενσωματωμένο έλεγχο ταυτότητας των Windows (απαιτεί επανεκκίνηση) .

    Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

  3. Σημείωση Σε υπολογιστές που εκτελούν Microsoft Windows 2000 και νεότερες εκδόσεις, οι διαχειριστές μπορούν να ορίσετε την τιμή της καταχώρησης EnableNegotiate REG_DWORD σε 1 στο παρακάτω κλειδί μητρώου για την ενεργοποίηση του ενσωματωμένου ελέγχου ταυτότητας Windows:
    Ρυθμίσεις HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
    .
  4. Δεν υπάρχουν ορισμένα ζητήματα όπου το Kerberos ενδέχεται να αποτύχει σε το πρόγραμμα-πελάτη του Internet Explorer.
    Για περισσότερες πληροφορίες σχετικά με ζητήματα που σχετίζονται με τον έλεγχο ταυτότητας Kerberos, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

    321728 Internet Explorer δεν υποστηρίζει τον έλεγχο ταυτότητας Kerberos με διακομιστές μεσολάβησης

    325608 αντιπροσώπευση ελέγχου ταυτότητας Kerberos μέσω του δεν λειτουργεί σε αρχιτεκτονικές εξισορρόπηση φόρτου

    248350 που αποτυγχάνει ο έλεγχος ταυτότητας Kerberos μετά την αναβάθμιση από τις υπηρεσίες IIS 4.0 σε IIS 5.0

    264921 πώς IIS ελέγχονται τα προγράμματα-πελάτες περιήγησης

Επιστροφή στην κορυφή

Ρύθμιση παραμέτρων των υπηρεσιών IIS για αντιπροσώπευση

Για την ενεργοποίηση ενσωματωμένου ελέγχου ταυτότητας Windows και μίμησης για μια εφαρμογή ASP.NET συνδεδεμένος, πρέπει να ρυθμίσετε τις παραμέτρους του Internet Information Services (IIS). Για να ρυθμίσετε τις παραμέτρους για τον έλεγχο ταυτότητας των Windows στις υπηρεσίες IIS, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί
    Εκτέλεση, τύπος
    inetmgr, και στη συνέχεια κάντε κλικ στο κουμπί OK.
  2. Αναπτύξτε το στοιχείο τοπικό υπολογιστήκαι, στη συνέχεια, αναπτύξτε το στοιχείο
    Η τοποθεσία Web.
  3. Κάντε δεξιό κλικ σε προεπιλεγμένη τοποθεσία Webκαι, στη συνέχεια, κάντε κλικ στο κουμπί Ιδιότητες.
  4. Κάντε κλικ στην καρτέλα Ασφάλεια καταλόγου και, στη συνέχεια, κάντε κλικ στο κουμπί Επεξεργασία στην περιοχή ανώνυμη πρόσβαση και ρυθμίσεις ελέγχου ταυτότητας.
  5. Κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου του ενσωματωμένου ελέγχου ταυτότητας Windows και, στη συνέχεια, κάντε κλικ για να απενεργοποιήσετε την ανώνυμη πρόσβαση, ο συνοπτικός έλεγχος ταυτότητας για το διακομιστή του τομέα των Windows και Ο βασικός έλεγχος ταυτότητας πλαίσια ελέγχου.

    Σημείωση Αν είναι ενεργοποιημένος ο ανώνυμος έλεγχος ταυτότητας, IIS θα προσπαθούν πάντα να πραγματοποιήσει έλεγχο ταυτότητας με τη χρήση τους, ακόμα και αν είναι ενεργοποιημένες οι άλλες μεθόδους.


    Εάν ο ανώνυμος έλεγχος ταυτότητας, ολοκληρωμένος έλεγχος ταυτότητας Windows και ο βασικός έλεγχος ταυτότητας είναι όλα επιλεγμένο, ενσωματωμένος έλεγχος ταυτότητας των Windows είναι επικρατέστερη βασικό έλεγχο ταυτότητας μετά τον ανώνυμο έλεγχο ταυτότητας.
Επιστροφή στην κορυφή

Ρυθμίστε τις παραμέτρους του ASP.NET για αντιπροσώπευση

  1. Ανοίξτε ένα αρχείο Web.config σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Σημειωματάριο (Notepad). Το αρχείο Web.config βρίσκεται στο φάκελο της εφαρμογής Web.
  2. Στο αρχείο Web.config, εντοπίστε τις ακόλουθες πληροφορίες στην ενότητα < παράμετροι >:
    <allow users="*" /> <deny users="?" />
  3. Στην ενότητα < System.web >, βεβαιωθείτε ότι το στοιχείο ελέγχου ταυτότητας έχει οριστεί σε Windows ως εξής:
    <authentication mode="Windows" />
  4. Στην ενότητα < System.web >, προσθέστε το ακόλουθο στοιχείο για την απομίμηση:
    <identity impersonate="true" />
  5. Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

    306158 πώς να εφαρμόσετε απομίμησης σε μια εφαρμογή του ASP.NET

    317012 ταυτότητα αίτησης και διαδικασίας στο ASP.NET

    315736 Τρόπος ασφάλισης μια εφαρμογή του ASP.NET με χρήση της ασφάλειας των Windows

Επιστροφή στην κορυφή

Ρυθμίστε τις παραμέτρους της υπηρεσίας καταλόγου Active Directory για αντιπροσώπευση

Αντιπροσώπευση πρέπει να είναι ενεργοποιημένη σε όλους τους υπολογιστές με διαπιστευτήρια πληρεξούσιο. Μπορούν να ρυθμιστούν με τα εργαλεία της υπηρεσίας καταλόγου Active Directory.

Για περισσότερες πληροφορίες, επισκεφθείτε τις ακόλουθες τοποθεσίες της Microsoft στο Web:
Επιτρέψετε σε έναν υπολογιστή να είναι αξιόπιστος για αντιπροσώπευση
http://technet2.microsoft.com/windowsserver/en/library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Οι λογαριασμοί χρήστη και υπολογιστή
http://technet2.microsoft.com/windowsserver/en/library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
Ο πυρήνας διαδικασία IIS, InetInfo.exe, είναι μια υπηρεσία που εκτελείται στο λογαριασμό τοπικού συστήματος και είναι η διαδικασία που κάνει τα εξής:
  • Δέχεται την αίτηση του προγράμματος-πελάτη
  • Υποδύεται το χρήστη
  • Πραγματοποιεί τις κατάλληλες εργασίες
  • Επιστρέφει την ταυτότητα της διεργασίας. Αυτό είναι LocalSystem
Εάν εκτελείτε το InetInfo.exe σε ένα λογαριασμό που είναι διαφορετικός από τον LocalSystem, πρέπει να επαληθεύσετε ότι ο λογαριασμός επιτρέπεται να ενεργεί ως πληρεξούσιος. Στην περίπτωση αυτή, δεν ρυθμίσετε τον υπολογιστή για αντιπροσώπευση.
Επιστροφή στην κορυφή

Αντιμετώπιση προβλημάτων

  1. Εάν το όνομα του διακομιστή Web που χρησιμοποιείτε στη διεύθυνση URL για να καλέσετε τη σελίδα ASP.NET δεν είναι το όνομα NetBIOS του υπολογιστή IIS, ο ενσωματωμένος έλεγχος ταυτότητας ενδέχεται να αποτύχει με σφάλμα 401.3. Για να επιλύσετε αυτό το ζήτημα, καταχωρήστε ένα νέο κύριο όνομα υπηρεσίας για τον υπολογιστή με το βοηθητικό πρόγραμμα SetSPN.exe.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    294382 έλεγχος ταυτότητας ενδέχεται να αποτύχει με σφάλμα "401.3" Εάν η τοποθεσία Web "Κεντρική κεφαλίδα" διαφέρει από το όνομα NetBIOS του διακομιστή

  2. Kerberos δεν λειτουργεί σε μια αρχιτεκτονική εξισορρόπηση φορτίου και IIS πέφτει πίσω τον έλεγχο ταυτότητας NTLM. Επειδή δεν μπορείτε να χρησιμοποιήσετε το NTLM για αντιπροσώπευση, εφαρμογές ή υπηρεσίες που απαιτούν αντιπροσώπευσης δεν λειτουργούν.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    325608 αντιπροσώπευση ελέγχου ταυτότητας Kerberos μέσω του δεν λειτουργεί σε αρχιτεκτονικές εξισορρόπηση φόρτου

  3. Για το Kerberos για να λειτουργήσει σωστά, πρέπει να χρησιμοποιήσετε πλήρη αναγνωρισμένα ονόματα τομέα (FQDN) για όλη η επικοινωνία.
  4. Όταν χρησιμοποιείτε τον Internet Explorer σε έναν υπολογιστή-πελάτη των Windows 2000 και, στη συνέχεια, μπορείτε να εντοπίσετε μια τοποθεσία Web όπου το όνομα κεφαλίδας κεντρικού υπολογιστή είναι διαφορετικό από το όνομα NetBIOS του υπολογιστή, ο ενσωματωμένος έλεγχος ταυτότητας ενδέχεται να αποτύχει με σφάλμα 401.3. Σημειώστε ότι οι υπολογιστές-πελάτες του Internet Explorer που χρησιμοποιούν Windows NT 4 ή Windows 98 ή των Windows 95 δεν θα αποτύχει. Επίσης, οι λοιποί τύποι ελέγχου ταυτότητας θα λειτουργήσει.
  5. Εάν ο διακομιστής Web χρησιμοποιεί ένα πλήρως αναγνωρισμένο όνομα τομέα, πρέπει να προσθέσετε την τοποθεσία προστίθεται στη λίστα των τοποθεσιών intranet στον Internet Explorer. Για να επαληθεύσετε ότι ο διακομιστής Web χρησιμοποιεί ένα πλήρως αναγνωρισμένο όνομα τομέα, ακολουθήστε τα εξής βήματα:
    1. Ξεκινήστε τον Internet Explorer.
    2. Στο μενού Εργαλεία , κάντε κλικ στο κουμπί
      Επιλογές Internet, και στη συνέχεια κάντε κλικ στην καρτέλα ασφάλεια .
    3. Κάντε κλικ στο τοπικό intranet. Κάντε κλικ στο κουμπί
      Τοποθεσίες.
    4. Κάντε κλικ στο κουμπί εκ των προτέρωνκαι, στη συνέχεια, πληκτρολογήστε τη διεύθυνση Web στο παράθυρο διαλόγου Προσθήκη αυτής της τοποθεσίας Web στη ζώνη . Κάντε κλικ στο κουμπί Προσθήκηκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  6. Εάν το πρόγραμμα-πελάτη του Internet Explorer έχει ρυθμιστεί να χρησιμοποιεί ένα διακομιστή μεσολάβησης, πρέπει να κάνετε κλικ για να επιλέξετε το πλαίσιο ελέγχου Παράκαμψη διακομιστή μεσολάβησης για τοπικές διευθύνσεις . Για να επαληθεύσετε ότι ο υπολογιστής-πελάτης του Internet Explorer έχει ρυθμιστεί να χρησιμοποιεί ένα διακομιστή μεσολάβησης, αυτό, ακολουθήστε τα εξής βήματα:
    1. Ξεκινήστε τον Internet Explorer.
    2. Στο μενού Εργαλεία , κάντε κλικ στο κουμπί
      Επιλογές Internetκαι στη συνέχεια επιλέξτε το
      Καρτέλα " συνδέσεις ".
    3. Κάντε κλικ στο κουμπί "ρυθμίσεις τοπικού Δικτύου ". Κάτω από το διακομιστή μεσολάβησης, βεβαιωθείτε ότι είναι επιλεγμένο το πλαίσιο ελέγχου Παράκαμψη διακομιστή μεσολάβησης για τοπική διεύθυνση .
  7. Εάν θέλετε να την πρόσβαση σε ένα διακομιστή SQL από σας ASP.NET συνδεδεμένος εφαρμογή, πρέπει να χρησιμοποιήσετε το πρωτόκολλο TCP/IP. Επώνυμες διοχετεύσεις δεν υποστηρίζουν την αντιπροσώπευση Kerberos. Με το όνομα διοχετεύσεις NTLM μόνο χρήση. Για να το κάνετε αυτό, προσθέστε το εξής χαρακτηριστικό στη συμβολοσειρά σύνδεσης:
    "Network Library =dbmssocn"
    Εάν δεν ορίσετε ρητά τη βιβλιοθήκη δικτύου, NTLM τίθεται σε την πρώτη ρύθμιση βιβλιοθήκης στο βοηθητικό πρόγραμμα ρύθμισης παραμέτρων υπολογιστή-πελάτη (Cliconfg.exe). Αυτή η προεπιλογή άλλαξε επώνυμες διοχετεύσεις και TCP/IP σε υπηρεσίες Microsoft Data Access Components (MDAC) 2.6.
    Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

    Σφάλμα 315159 : επώνυμες διοχετεύσεις δεν λειτουργούν όταν η διαδικασία εργασίας εκτελείται στο λογαριασμό ASPNET

    247931 μέθοδοι ελέγχου ταυτότητας για συνδέσεις με SQL Server σε ενεργές σελίδες διακομιστή

Επιστροφή στην κορυφή

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο σχεδίασης περισσότερες εφαρμογές που βασίζονται στο Web και σενάρια αντιπροσώπευση, επισκεφθείτε την ακόλουθη τοποθεσία του Microsoft Developer Network (MSDN) στο Web:Για περισσότερες πληροφορίες σχετικά με τον τρόπο σχεδίασης ασφαλείς εφαρμογές που βασίζονται στο Web, ανατρέξτε στα παρακάτω θέματα:
Σχεδίαση ασφαλείς εφαρμογές Web"
Microsoft Press
Ο Λεωνίδας Howard, εισφορά στέμφυλα και ο Γιώργος Waymire
ISBN 0-7356-0995-0
Επιστροφή στην κορυφή
Ιδιότητες

Αναγνωριστικό άρθρου: 810572 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια