В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету
Войти

Инструкции по настройке приложения ASP.NET для делегирования

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

810572
Аннотация
В данной статье описывается настройка служб информации Интернет (IIS) и службы каталогов Active Directory для делегирования ASP.NET приложения. Делегирование является следующим шагом после олицетворения. Делегирование поддерживает возможность доступа к удаленным ресурсам от имени клиента вместо доступа к локальным ресурсам только. Статья описывает действия, которые необходимо выполнить делегирование приложения ASP.NET подключается приложение.

к началу статьи TOP

Требования для делегирования

Делегирование использует встроенную проверку подлинности Windows для доступа к ресурсы. Нет ограничений на количество компьютеров, которые можно делегировать Ваша учетная запись--необходимо правильно настроить каждую из них. Встроенный графический ускоритель Метод проверки подлинности Windows работает только в том случае, если существуют два следующих условия:
  • Настройка сети для использования проверки подлинности Kerberos протокол, который требует Active Directory.
  • Настройки компьютеров и учетных записей в сети как доверенный для делегирования.
Если эти условия не выполняются, нельзя использовать встроенную проверку подлинности Windows для доступа к данным на удаленном ресурсе, так как встроенная проверка подлинности Windows только предоставляет доступ к серверу IIS и не к дополнительным ресурсам, настроенного на проверку подлинности Windows, к которым сервер IIS.

Проверка подлинности Kerberos проверяет подлинность сервера и клиента, в то время как только клиент выполняет проверку подлинности Windows NT вызов-ответ (NTLM). Операционных систем, предшествующих Windows 2000 не поддерживают проверку подлинности Kerberos. Kerberos требуется наличие IIS 5.0 или более поздней версии. Таким образом необходимо запустить Windows 2000 или более поздней операционной системы на всех компьютерах, где использовать делегирование Kerberos. Кроме того необходимо поместить все компьютеры в том же лесу Active Directory. Только Microsoft Internet Explorer версии 5.0 и более поздних версий поддерживают Kerberos. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
217098Обзор протокола проверки подлинности Kerberos пользователя в Windows 2000

Перейти к началу страницы

Настройте обозреватель Internet Explorer для делегирования

При использовании Internet Explorer версии 5.0 или более поздних версий Internet Explorer можно настроить для приложения ASP.NET - делегирование служб IIS. Чтобы сделать это, выполните следующие действия.
  1. Запустите обозреватель Internet Explorer. В строке меню выберите пунктСервис, а затем нажмите кнопку Интернет Параметры.
  2. Нажмите кнопку Дополнительно вкладки, а затем нажмите на Выберите Включение встроенной проверки подлинности Windows (требуется перезапуск) флажок.

    Этот параметр позволяет использовать Internet Explorer для ответа на запрос согласования и затем выполнять проверку подлинности Kerberos. Так как эта функция требует Windows 2000 или более поздней версии, если Internet Explorer не запущен на Windows 2000 или более поздней версии операционной системы, Internet Explorer не отвечает на запрос согласования. По умолчанию обозреватель Internet Explorer использует проверку подлинности NTLM, даже в том случае, если нажать кнопку для выбора Включение интеграции Проверка подлинности Windows (требуется перезапуск) загрузке поле.

    Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
    322756 Резервное копирование и восстановление реестра Windows

  3. Примечание На компьютерах, работающих под управлением Microsoft Windows 2000 и более поздних версий, администраторы могут установить значение EnableNegotiate REG_DWORD запись 1 в следующий раздел реестра, чтобы включить встроенную проверку подлинности Windows:
    Параметры HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
    .
  4. Существуют некоторые проблемы, когда не удается Kerberos на Клиент Internet Explorer.Для получения дополнительных сведений о проблемах, связанных с проверки подлинности Kerberos щелкните следующие номера статей базы знаний Майкрософт:
    321728Internet Explorer не поддерживает проверку подлинности Kerberos с прокси-серверами
    325608 Делегирование проверки подлинности через протокол Kerberos не работает в архитектурах с балансировкой нагрузки
    248350 Сбой проверки подлинности Kerberos после обновления IIS 4.0 до IIS 5.0
    264921 Как IIS проверяет подлинность клиентов обозревателя
Перейти к началу страницы

Настройте службы IIS для делегирования

Включение встроенной проверки подлинности и олицетворения для приложения ASP.NET подключается приложение, необходимо настроить сведения О службах Интернета (IIS). Чтобы настроить для проверки подлинности в IIS, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопкуЗапустить, типinetmgr, а затем нажмите кнопку ОК.
  2. Разверните узел Локальный компьютер, а затем разверните узелВеб-узел.
  3. Щелкните правой кнопкой мыши Веб-узел по умолчанию, а затем Нажмите кнопку Свойства.
  4. Нажмите кнопку Безопасность каталога вкладки, а затем Нажмите кнопку Редактирование Из списка Анонимный доступ и проверка подлинности Управление.
  5. Выберите Встроенная Проверка подлинности Установите флажок и нажмите кнопку Очистить Анонимный доступ, Дайджест-проверки подлинности для домена Windows сервер и Обычная проверка подлинности загрузке поля.

    Примечание Если анонимная проверка подлинности включена, службы IIS всегда пытается пройти проверку подлинности с помощью его во-первых, даже в том случае, если включены другие методы.

    Если анонимная проверка подлинности, встроенная проверка подлинности Windows и обычной проверки подлинности всех выбранных, встроенная проверка подлинности Windows имеет приоритет над обычную проверку подлинности, после анонимной проверки подлинности.
Перейти к началу страницы

Настройка приложений ASP.NET для делегирования

  1. Откройте файл Web.config в текстовом редакторе, таком как Блокнот. Файл Web.config расположен в веб-приложения папка.
  2. В файле Web.config найдите следующую информацию в <configuration> раздел:</configuration>
    <allow users="*" /> <deny users="?" />
  3. Убедитесь, что в разделе <system.web> значение элемента Authentication<b00></b00></system.web>Windows как показано ниже:
    <authentication mode="Windows" />
  4. В разделе <system.web> Добавить следующий элемент для олицетворения:</system.web>
    <identity impersonate="true" />
  5. Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
    306158Как олицетворение в ASP.NET приложения
    317012 Учетная запись процесса в ASP.NET
    315736 Как обеспечить безопасность приложений ASP.NET с помощью системы безопасности Windows
Перейти к началу страницы

Настройте Active Directory для делегирования

Делегирование необходимо включить на всех компьютерах с учетными данными делегата. Он может быть настройку средств Active Directory.

Для получения дополнительных сведений посетите следующие веб-узлы корпорации Майкрософт:
Сделать компьютер доверенным для делегирования
http://technet2.Microsoft.com/WindowsServer/en/Library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Учетные записи пользователей и компьютеров
http://technet2.Microsoft.com/WindowsServer/en/Library/91a98c38-38c5-49dc-83bf-e69d8e1dbbfa1033.mspx
В основной процесс IIS, InetInfo.exe, является службой, работающей в среде «локальный компьютер» учетную запись и — это процесс, который выполняет следующее:
  • Принимает запрос клиента
  • Олицетворяет пользователя
  • Выполняет задачи, соответствующие
  • Обращается к идентификации процесса. Это «Локальный компьютер»
При работе под учетной записью, отличной от InetInfo.exe «Локальный компьютер», необходимо проверить учетную запись разрешается выступать в роли делегат. В этом случае следует настраивать компьютер для делегирование.
Перейти к началу страницы

Разрешение вопросов:

  1. Имя веб-сервера, которое используется в URL-адрес для вызова приложения ASP.NET страница не является NetBIOS-имя компьютера IIS, встроенная проверка подлинности может завершиться с ошибкой 401.3. Чтобы устранить эту проблему, зарегистрируйте новое имя участника-службы для компьютера с помощью программы SetSPN.exe.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    294382Проверка подлинности может завершиться с ошибкой «401.3», если веб-узел «заголовок» не совпадает с именем NetBIOS сервера
  2. Kerberos не работает в архитектуре с балансировкой нагрузки и IIS сбрасывает обратно на проверку подлинности NTLM. Так как нельзя использовать NTLM для делегирование, приложения или службы, для которых требуется делегирование не работают.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    325608Делегирование проверки подлинности через протокол Kerberos не работает в архитектурах с балансировкой нагрузки
  3. Для проверки подлинности Kerberos работает правильно необходимо использовать полностью определенные доменные имена (FQDN) для обмена данными.
  4. При использовании Internet Explorer на клиентском компьютере Windows 2000 и затем найдите веб-узел, где имя заголовка узла отличается от Имя NetBIOS компьютера встроенная проверка подлинности может завершиться с ошибкой 401.3. Примечание, Internet Explorer клиентов, использующих Windows 98 или Windows NT 4 или Windows 95 не удастся. Кроме того будут другие схемы проверки подлинности работа.
  5. Если веб-сервер использует полное доменное имя, необходимо добавить веб-узел добавляется к списку узлов интрасети в обозревателе Internet Explorer. Чтобы убедиться, что веб-сервер использует полное доменное имя, выполните следующие действия.
    1. Запустите обозреватель Internet Explorer.
    2. На Сервис меню, нажмите кнопку Параметры Интернета, а затем нажмите кнопку БезопасностьВкладка.
    3. Выберите Местная интрасеть. Нажмите кнопку Веб-узлы.
    4. Нажмите кнопку АО, и затем введите веб-страниц адрес Добавить узел в зону диалоговое окно. Нажмите кнопку Добавить, а затем нажмите кнопку ОК.
  6. Если клиент Internet Explorer настроен на использование прокси-сервера, необходимо нажать кнопку для выбора Использовать прокси-сервер для локальных адреса флажок. Чтобы убедиться, что клиент Internet Explorer настроена для использования прокси-сервера, выполните следующие действия:
    1. Запустите обозреватель Internet Explorer.
    2. На Сервис меню, нажмите кнопку Параметры Интернета, а затем нажмите кнопку Подключения Вкладка.
    3. Нажмите кнопку ЛОКАЛЬНАЯ СЕТЬ Параметры. В разделе прокси-сервера сервер, убедитесь, что Использовать прокси-сервер для локальных адресовустановлен флажок.
  7. Если вы хотите получить доступ к SQL Server из вашего ASP.NET подключается приложение, необходимо использовать протокол TCP/IP. Не поддерживают именованные каналы Делегирование Kerberos. Именованные каналы NTLM только для использования. Чтобы сделать это, добавьте следующие строки атрибут строки соединения:
    "Network Library =dbmssocn"
    Если вы не задано явно сетевой библиотеки, NTLM принимает первый Настройка библиотеки в служебной программе настройки клиента (Cliconfg.exe). Это значение по умолчанию изменено с именованным каналам TCP/IP в Microsoft данных Access Components (MDAC) 2.6.
    Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
    315159Ошибка: Именованные каналы не работают при рабочий процесс выполняется под учетной записью ASPNET
    247931 Методы проверки подлинности для подключения к SQL Server в ASP-страниц
к началу статьи TOP
Ссылки
Для получения дополнительных сведений о том, как создавать более безопасные веб- приложения и сценарии делегирования, посетите следующие разработки корпорации Майкрософт Веб-узел сети MSDN: Для получения дополнительных сведений о том, как создавать безопасные веб- приложения, как указано ниже.
Разработка безопасных веб-приложений"
Корпорация Майкрософт Нажмите клавишу
Майкл Говард, см. раздел марка и Ричарда Вэймира
ISBN 0-7356-0995-0
к началу статьи TOP

Предупреждение: эта статья переведена автоматически

Свойства

Номер статьи: 810572 — последний просмотр: 06/14/2011 14:18:00 — редакция: 4.0

  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services 6.0
  • kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto kbmt KB810572 KbMtru
Отзывы и предложения