Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come configurare un'applicazione ASP.NET per uno scenario di delega

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 810572
Sommario
In questo articolo viene descritto come configurare Internet Information Services (IIS) e Active Directory necessari per la delega dell'applicazioni ASP.NET. La delega è il passaggio successivo dopo la rappresentazione. Delega supporta la possibilità di accedere alle risorse remote per conto del client invece dell'accesso alle risorse locali. In questo articolo viene descritta la procedura che è necessario eseguire per delegare un'applicazione basate su ASP.NET.

back to the top

Requisiti per la delega

Delega si basa sull'autenticazione integrata di Windows per accedere alle risorse. Non esiste un limite al numero di computer che è possibile delegare l'account, è necessario configurare correttamente ciascuno di essi. Integrata il metodo di autenticazione di Windows funziona solo se sono presenti le seguenti due condizioni:
  • Per configurare la rete per utilizzare il protocollo di autenticazione Kerberos richiede Active Directory.
  • È impostare gli account e i computer sulla rete come trusted per delega.
Se queste condizioni non sono true, non è possibile utilizzare l'autenticazione integrata di Windows per accedere a una risorsa remota, poiché l'autenticazione integrata di Windows solo consente di accedere al server IIS e non le risorse aggiuntive configurate per l'autenticazione Windows che accede in remoto il server IIS.

L'autenticazione Kerberos autentica il server e il client, mentre Windows NT Challenge/Response (NTLM) autentica il client solo. I sistemi operativi precedenti a Windows 2000 non supportano l'autenticazione Kerberos. Kerberos richiede l'utilizzo di IIS 5.0 o versione successiva. Di conseguenza, è necessario eseguire Windows 2000 o un sistema operativo più recente su tutti i computer in cui si utilizza la delega Kerberos. Inoltre, è necessario inserire tutti i computer in stesso insieme di strutture di Active Directory. Kerberos sono supportate in solo Microsoft Internet Explorer 5.0 e versioni successive. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
217098Protocollo di autenticazione Kerberos utente in Windows 2000 per informazioni generali

back to the top

Configurare Internet Explorer per la delega

Quando si utilizza Internet Explorer 5.0 o versioni successive, è possibile configurare Internet Explorer per ASP.NET - IIS delega. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Avviare Internet Explorer. Fare clic su Strumenti sulla barra dei menu e quindi fare clic su Opzioni Internet .
  2. Fare clic sulla scheda Avanzate e quindi fare clic su per selezionare la casella di controllo Abilita autenticazione Windows integrata (sarà necessario riavvio) .

    Questa impostazione consente di rispondere a una richiesta di negoziazione di Internet Explorer e quindi eseguire l'autenticazione Kerberos. Poiché questa funzionalità richiede Windows 2000 o versioni successive, quando Internet Explorer non è in esecuzione in un Windows 2000 o versione successivo del sistema operativo, quindi Internet Explorer non risponde a una richiesta Negotiate. Per impostazione predefinita, Internet Explorer utilizza l'autenticazione NTLM, anche se seleziona la casella di controllo Abilita autenticazione Windows integrata (richiede riavvio) .

    importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    322756Come eseguire il backup e il ripristino del Registro di sistema in Windows

  3. Nota Nei computer che eseguono Microsoft Windows 2000 e versioni successive, è possono che gli amministratori di impostare il valore della voce REG_DWORD EnableNegotiate su 1 nella seguente chiave del Registro di sistema per attivare l'autenticazione integrata di Windows:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    .
  4. Esistono alcuni problemi Kerberos potrebbe non riuscire nel client Internet Explorer. Per ulteriori informazioni sui problemi relativi all'autenticazione Kerberos, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
    321728Internet Explorer non supporta l'autenticazione Kerberos con server proxy
    325608Delega di autenticazione tramite Kerberos non funziona in architetture a carico bilanciato
    248350L'autenticazione Kerberos non riesce dopo l'aggiornamento da IIS 4.0 a IIS 5.0
    264921Come IIS esegue l'autenticazione dei client browser
back to the top

Configurare IIS per la delega

Per attivare l'autenticazione integrata di Windows e la rappresentazione per un'applicazione basate su ASP.NET, è necessario configurare Internet Information Services (IIS). Per configurare per l'autenticazione di Windows in IIS, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare inetmgr e quindi fare clic su OK .
  2. Espandere il computer locale e quindi espandere sito Web .
  3. Fare clic con il pulsante destro del mouse sul sito Web predefinito e quindi fare clic su Proprietà .
  4. Fare clic sulla scheda Protezione Directory e quindi fare clic su Modifica in controllo autenticazione e accesso anonimo .
  5. Fare clic per selezionare il integrata di Windows l'autenticazione casella di controllo e quindi deselezionare le caselle di controllo accesso anonimo , autenticazione del digest per server di dominio di Windows e Autenticazione di base .

    Nota Se è attivata l'autenticazione anonima, IIS cercherà sempre per l'autenticazione utilizzando in primo luogo, anche se altri metodi sono attivati.

    Se l'autenticazione anonima, l'autenticazione integrata di Windows e l'autenticazione di base sono tutti i autenticazione di Windows selezionata, integrata ha la precedenza sull'autenticazione di base, dopo l'autenticazione anonima.
back to the top

Configurare ASP.NET per la delega

  1. Aprire un file Web.config in un editor di testo, ad esempio il blocco note. Il file di Web.config si trova nell'applicazione Web cartella.
  2. Nel file Web.config, individuare le informazioni seguenti nella sezione <configuration>:
    <allow users="*" /> <deny users="?" />
  3. Nella sezione <System.web>, verificare che l'elemento authentication sia impostato Windows come segue:
    <authentication mode="Windows" />
  4. Nella sezione <System.web>, aggiungere l'elemento seguente per la rappresentazione:
    <identity impersonate="true" />
  5. Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
    306158Come implementare la rappresentazione in un'applicazione ASP.NET
    317012Identità di processo e della richiesta in ASP.NET
    315736Come proteggere un'applicazione ASP.NET utilizzando la protezione di Windows
back to the top

Configurare Active Directory per la delega

La delega deve essere abilitata in tutti i computer con credenziali di delegato. Può essere configurato negli strumenti di Active Directory.

Per ulteriori informazioni, visitare i seguenti siti Web Microsoft: Il processo IIS, InetInfo.exe, principale è un servizio eseguito LocalSystem l'account ed è il processo che esegue le operazioni seguenti:
  • Accetta la richiesta del client
  • Rappresenta l'utente
  • Esegue le attività appropriate
  • Ripristina l'identità del processo. Questo è LocalSystem
Se in esecuzione InetInfo.exe con un account diverso da LocalSystem, è necessario verificare che all'account è consentito come un delegato. In questo caso, non configurare il computer per la delega.
back to the top

Risoluzione dei problemi

  1. Se il nome del server Web utilizzabili nell'URL per chiamare la pagina ASP.NET non è il nome NetBIOS del computer IIS, è possibile che non l'autenticazione integrata effettuata con errore 401.3. Per risolvere il problema, è possibile registrare un nuovo nome principale del servizio per il computer con l'utilità SetSPN.exe. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    294382Autenticazione possibile errore con errore "401.3" Se "Intestazione un sito Web host" differisce dal nome NetBIOS del server
  2. Kerberos non funziona in un'architettura a carico bilanciato e IIS raggiunge l'autenticazione NTLM. Poiché non è possibile utilizzare il NTLM per la delega, applicazioni o servizi che richiedono la delega non funzionano. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
    325608Delega di autenticazione tramite Kerberos non funziona in architetture a carico bilanciato
  3. Per Kerberos per il corretto funzionamento, è necessario utilizzare nomi di dominio completi (FQDN) per tutte le comunicazioni.
  4. Quando si utilizza Internet Explorer su un client di Windows 2000 e quindi individuare un sito Web in cui il nome di intestazione di host è diverso dal nome NetBIOS del computer, autenticazione integrata potrebbe non riuscire con errore 401.3. Si noti che i client di Internet Explorer che utilizzano Windows NT 4 o Windows 98 o Windows 95 non avrà esito negativo. Inoltre, altri schemi di autenticazione non funzionerà.
  5. Se il server Web utilizza un nome di dominio completo, è necessario aggiungere che il sito viene aggiunto all'elenco di siti intranet in Internet Explorer. Per verificare che il server Web utilizza un nome di dominio completo, attenersi alla seguente procedura:
    1. Avviare Internet Explorer.
    2. Fare clic su Opzioni Internet dal menu Strumenti , quindi la protezione scheda.
    3. Fare clic per selezionare intranet locale . Fare clic su siti .
    4. Fare clic su Avanzate e quindi digitare la Web indirizzo nella finestra di dialogo Aggiungi il sito Web all'area . Fare clic su Aggiungi e quindi fare clic su OK .
  6. Se il client di Internet Explorer è impostato per l'utilizzo di un server proxy, devi fare clic su per selezionare la casella di controllo Ignora di server proxy per indirizzi locali . Per verificare che il client di Internet Explorer è impostato per l'utilizzo di un server proxy, questo attenersi alla seguente procedura:
    1. Avviare Internet Explorer.
    2. Fare clic su Opzioni Internet dal menu Strumenti , quindi la scheda connessioni .
    3. Fare clic su impostazioni LAN . In proxy server, verificare che le Ignora server proxy per indirizzi locali di controllo è selezionata.
  7. Se si desidera accedere a SQL Server dall'applicazione basate su ASP.NET, è necessario utilizzare TCP/IP. Named pipe non supportano la delega Kerberos. Nome pipe utilizzare NTLM solo. A tale scopo, aggiungere il seguente attributo alla stringa di connessione:
    "Network Library =dbmssocn"
    se non si imposta in modo esplicito la libreria di rete, la funzione NTLM avrà l'impostazione di libreria prima nel client utilità di configurazione (Cliconfg.exe). Questa impostazione modificata da named pipes a TCP/IP in Microsoft Data Access Components (MDAC) 2.6.
    Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
    315159BUG: Named pipe non funzionano quando viene eseguito il processo di lavoro con account ASPNET
    247931Metodi di autenticazione per connessioni a SQL Server nelle pagine ASP
back to the top
Riferimenti
Per ulteriori informazioni su come progettare più proteggere le applicazioni basate sul Web e scenari di delega, visitare il seguente sito Web MSDN (informazioni in lingua inglese): Per ulteriori informazioni su come progettare applicazioni Web protette, vedere quanto segue:
Progettazione Secure Web-based Applications"
Microsoft Press
Michael Howard, Marc tassa e Richard Waymire
ISBN 0-7356-0995-0
back to the top

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 810572 - Ultima revisione: 12/03/2007 19:53:57 - Revisione: 8.8

Microsoft ASP.NET 1.1, Microsoft ASP.NET 1.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 6.0

  • kbmt kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto KB810572 KbMtit
Feedback
=">