Làm thế nào để cấu hình một ASP.Ứng dụng NET cho một phái đoàn kịch bản

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:810572
TÓM TẮT
Bài viết từng bước này mô tả cách cấu hình Internet Information Services (IIS) và thư mục hoạt động cần thiết cho đoàn đại biểu của ASP.Các ứng dụng NET. Đoàn đại biểu là bước tiếp theo sau khi mạo danh. Phái đoàn hỗ trợ khả năng của bạn để truy cập từ xa nguồn lực trên danh nghĩa của khách hàng thay vì của việc truy cập tài nguyên địa phương chỉ. Bài viết này mô tả các bước bạn phải thực hiện để đại biểu một ASP.NET kết nối ứng dụng.

Quay lại các đầu trang

Yêu cầu đối với đoàn đại biểu

Đoàn đại biểu dựa trên xác thực tích hợp Windows để truy cập tài nguyên. Đó là không có giới hạn về số lượng máy tính mà bạn có thể đại biểu tài khoản của bạn - bạn một cách chính xác phải cấu hình mỗi người trong số họ. Việc tích hợp Phương thức xác thực của Windows chỉ hoạt động nếu tồn tại hai điều kiện sau đây:
  • Bạn thiết lập mạng của bạn dùng xác thực Kerberos giao thức đòi hỏi Active Directory.
  • Bạn thiết lập máy tính và các tài khoản trên mạng của bạn là tin tưởng cho đoàn đại biểu.
Nếu những điều kiện này không đúng, bạn không thể sử dụng xác thực tích hợp Windows để truy cập dữ liệu vào một nguồn lực từ xa vì xác thực tích hợp Windows chỉ cho phép bạn truy cập tới hệ phục vụ IIS và không để các nguồn lực bổ sung được cấu hình để xác thực của Windows IIS máy chủ từ xa truy cập.

Kerberos xác thực authenticates máy chủ và máy khách, trong khi Windows NT Challenge/Response (NTLM) authenticates khách hàng chỉ. Hệ điều hành sớm hơn Windows 2000 hỗ trợ xác thực Kerberos. Kerberos đòi hỏi rằng bạn sử dụng IIS 5.0 hoặc bản sau. Vì vậy, bạn phải chạy Windows 2000 hay một hệ điều hành mới hơn trên tất cả các máy tính nơi bạn sử dụng phái đoàn Kerberos. Ngoài ra, bạn phải đặt tất cả các máy tính trong cùng một Active Directory rừng. Chỉ có Microsoft Internet Explorer 5.0 và phiên bản mới nhất hỗ trợ Kerberos. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
217098Cơ bản tổng quan về Kerberos người sử dụng giao thức xác thực trong Windows 2000

Quay lại đầu trang

Cấu hình Internet Explorer cho đoàn đại biểu

Khi bạn sử dụng Internet Explorer 5.0 hoặc phiên bản mới nhất, bạn có thể cấu hình Internet Explorer cho một ASP.NET - phái đoàn IIS. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Khởi động Internet Explorer. Trên thanh trình đơn, nhấp vàoCông cụ, sau đó bấm Internet Tuỳ chọn.
  2. Bấm vào các Nâng cao tab, và sau đó nhấn vào đây để chọn các Cho phép xác thực tích hợp Windows (phải khởi động lại) hộp kiểm.

    Thiết đặt này cho phép Internet Explorer để đáp ứng với một thách thức Negotiate và sau đó thực hiện Kerberos xác thực. Bởi vì tính năng này yêu Windows 2000 hay phiên bản sau này, khi Internet Explorer không chạy trên Windows 2000 hoặc hệ điều hành phiên bản sau này, sau đó Internet Explorer không đáp ứng với một thách thức Negotiate. Theo mặc định, Internet Explorer sử dụng NTLM xác thực, ngay cả khi bạn bấm để chọn các Kích hoạt tính năng tích hợp Xác thực của Windows (yêu cầu khởi động lại) kiểm tra hộp.

    Quan trọng Phần, phương pháp hoặc nhiệm vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi registry. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ đăng ký, hãy nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows

  3. Chú ý Trên máy tính đang chạy Microsoft Windows 2000 và phiên bản mới nhất, quản trị viên có thể thiết lập giá trị của các EnableNegotiate REG_DWORD entry cho 1 trong khóa registry sau đây để bật tích hợp Windows xác thực:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    .
  4. Có một số vấn đề mà Kerberos có thể thất bại vào các Internet Explorer khách hàng.Để biết thêm chi tiết về các vấn đề liên quan đến Kerberos xác thực, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    321728Internet Explorer không hỗ trợ Kerberos xác thực với máy chủ proxy
    325608 Phái đoàn xác thực thông qua Kerberos không hoạt động trong cân bằng tải kiến trúc
    248350 Kerberos xác thực không sau khi nâng cấp từ IIS 4,0 đến 5,0 IIS
    264921 Làm thế nào IIS authenticates trình duyệt khách hàng
Quay lại đầu trang

Cấu hình IIS cho đoàn đại biểu

Để bật xác thực tích hợp Windows và mạo danh cho một ASP.NET kết nối ứng dụng, bạn cần phải cấu hình Internet Information Services (IIS). Để cấu hình cho Windows xác thực trong IIS, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấmChạy, loạiinetmgr, sau đó bấm Ok.
  2. Mở rộng máy tính cục bộ, và sau đó mở rộngWeb site.
  3. Nhấp chuột phải Trang Web mặc định, và sau đó Nhấp vào Thuộc tính.
  4. Bấm vào các Bảo mật thư mục tab, và sau đó Nhấp vào Chỉnh sửa dưới Chưa xác định người truy cập và xác thực kiểm soát.
  5. Nhấn vào đây để chọn các Tích hợp Windows xác thực kiểm tra hộp, và sau đó bấm Xóa các Chưa xác định người truy cập, Digest xác thực cho tên miền Windows hệ phục vụXác thực cơ bản kiểm tra hộp.

    Chú ý Nếu vô danh xác thực kích hoạt, IIS sẽ luôn luôn cố gắng xác thực bằng cách sử dụng nó đầu tiên, ngay cả khi các phương pháp khác được kích hoạt.

    Nếu vô danh xác thực, tích hợp Windows xác thực và xác thực cơ bản là tất cả được chọn, tích hợp Windows xác thực sẽ ưu tiên hơn xác thực cơ bản, sau khi vô danh xác thực.
Quay lại đầu trang

Cấu hình các ASP.NET cho các đoàn đại biểu

  1. Mở một tập tin Web.config trong trình soạn thảo văn bản như Notepad. Taäp tin Web.config nằm trong ứng dụng Web thư mục.
  2. Trong tập tin Web.config, xác định vị trí các thông tin sau trong các <configuration>phần:</configuration>
    <allow users="*" /> <deny users="?" />
  3. O dan adran <system.web>, xác minh rằng các yếu tố xác thực được thiết lập để<b00> </b00> </system.web>Windows như sau:
    <authentication mode="Windows" />
  4. O dan adran <system.web>, thêm dưới đây yếu tố cho mạo danh:</system.web>
    <identity impersonate="true" />
  5. Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    306158Làm thế nào để thực hiện mạo danh trong một ASP.NET application
    317012 Quá trình và yêu cầu danh tính trong ASP.NET
    315736 Làm thế nào để bảo đảm một ASP.Ứng dụng NET bằng cách sử dụng Windows bảo mật
Quay lại đầu trang

Cấu hình Active Directory cho đoàn đại biểu

Đoàn đại biểu phải được kích hoạt trên tất cả máy tính với đại biểu ủy nhiệm. Nó có thể cấu hình trong các công cụ Active Directory.

Để biết thêm chi tiết, hãy truy cập trang Web Microsoft sau đây:
Cho phép một máy tính được tin cậy cho đoàn đại biểu
http://technet2.Microsoft.com/windowsserver/en/Library/b207ee9c-a055-43f7-b9be-20599b694a311033.mspx
Các lõi IIS quá trình, InetInfo.exe, là một dịch vụ mà chạy theo LocalSystem tài khoản, và là quá trình nào sau đây:
  • Sẽ đưa yêu cầu khách hàng
  • Impersonates người dùng
  • Thực hiện các nhiệm vụ thích hợp
  • Reverts để nhận dạng quá trình. Điều này là LocalSystem
Nếu bạn đang chạy InetInfo.exe theo trương mục khác LocalSystem, bạn phải xác minh rằng các tài khoản được phép để hoạt động như một đại biểu. Trong trường hợp này, không cấu hình máy tính để đoàn đại biểu.
Quay lại đầu trang

Gỡ rối

  1. Nếu các máy chủ Web đặt tên mà bạn sử dụng trong URL để gọi ASP.NET trang không phải là tên NetBIOS của máy tính IIS, xác thực tích hợp có thể thất bại với lỗi 401.3. Để giải quyết vấn đề này, đăng ký tên dịch vụ hiệu trưởng mới cho máy tính với các tiện ích SetSPN.exe.Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
    294382Xác thực có thể thất bại với lỗi "401.3" Nếu trang Web "Host Header" khác với tên NetBIOS của máy chủ
  2. Kerberos không hoạt động trong một kiến trúc cân bằng tải và IIS giọt trở lại NTLM xác thực. Bởi vì bạn không thể sử dụng NTLM cho đoàn đại biểu, bất kỳ ứng dụng hoặc dịch vụ đó có yêu cầu đoàn đại biểu không làm việc.Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
    325608Phái đoàn xác thực thông qua Kerberos không hoạt động trong cân bằng tải kiến trúc
  3. Cho Kerberos làm việc chính xác, bạn phải sử dụng đầy đủ tên miền Ðạt tiêu chuẩn (FQDN) thuộc cho tất cả các giao tiếp.
  4. Khi bạn sử dụng Internet Explorer trên một khách hàng Windows 2000 và sau đó, bạn xác định một trang Web mà tên tiêu đề máy chủ là khác nhau từ các Tên NetBIOS của máy tính, xác thực tích hợp có thể thất bại với lỗi 401.3. Lưu ý rằng khách hàng Internet Explorer sử dụng Windows NT 4 hoặc Windows 98 hoặc Windows 95 sẽ không phải thất bại. Ngoài ra, các đề án xác thực sẽ làm việc.
  5. Nếu các máy chủ Web sử dụng một tên miền hoàn toàn đủ điều kiện, bạn phải thêm các trang web sẽ được thêm vào danh sách các trang web mạng nội bộ trong Internet Explorer. Để xác minh rằng các máy chủ Web sử dụng một tên miền hoàn toàn đủ điều kiện, hãy làm theo các bước sau:
    1. Khởi động Internet Explorer.
    2. Trên các Công cụ trình đơn, nhấp vào Tuỳ chọn Internet, sau đó bấm các Bảo mậttab.
    3. Bấm để chọn Intranet cục bộ. Nhấp vào Các trang web.
    4. Nhấp vào Tạm ứng, rồi gõ Web Địa chỉ trong các Thêm trang Web vào vùng hộp thoại. Nhấp vào Thêm, sau đó bấm Ok.
  6. Nếu máy sử dụng Internet Explorer được thiết lập để sử dụng một máy chủ proxy, bạn phải bấm vào để chọn các Bỏ qua Proxy Server for local Địa chỉ hộp kiểm. Để xác minh rằng các khách hàng Internet Explorer Điều này thiết lập để sử dụng một máy chủ proxy, hãy làm theo các bước sau:
    1. Khởi động Internet Explorer.
    2. Trên các Công cụ trình đơn, nhấp vào Tuỳ chọn Internet, sau đó bấm các Kết nối tab.
    3. Nhấp vào LAN Thiết đặt. Theo Proxy hệ phục vụ, xác minh rằng các Bỏ qua hệ phục vụ ủy quyền cho địa phương địa chỉkiểm tra hộp kiểm tra.
  7. Nếu bạn muốn truy cập vào một máy chủ SQL từ của bạn ASP.NET kết nối ứng dụng, bạn phải sử dụng TCP/IP. Được đặt tên theo đường ống hỗ trợ Đoàn đại biểu Kerberos. Tên là ống NTLM chỉ sử dụng. Để thực hiện việc này, thêm dưới đây thuộc tính cho kết nối chuỗi:
    "Network Library =dbmssocn"
    Nếu bạn không rõ ràng đặt thư viện mạng, NTLM sẽ là người đầu tiên thư viện thiết lập trong các tiện ích cấu hình máy khách (Cliconfg.exe). Mặc định này thay đổi từ tên là ống để TCP/IP trong Microsoft dữ liệu truy cập các thành phần (MDAC) 2.6.
    Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
    315159LỖI: Được đặt tên theo ống không hoạt động khi người lao động quá trình chạy dưới tài khoản ASPNET
    247931 Phương pháp xác thực cho các kết nối đến máy chủ SQL trong Active Server Pages
Quay lại các đầu trang
THAM KHẢO
Để biết thêm thông tin về làm thế nào để thiết kế nhiều hơn nữa an toàn dựa trên Web các ứng dụng và đoàn kịch bản, truy cập vào các nhà phát triển Microsoft sau đây Trang Web mạng (MSDN): Để biết thêm thông tin về cách thiết kế an toàn dựa trên Web các ứng dụng, xem dưới đây:
Thiết kế an toàn dựa trên Web ứng dụng"
Microsoft Báo chí
Michael Howard, Marc Levy và Richard Waymire
ISBN 0-7356-0995-0
Quay lại các đầu trang

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 810572 - Xem lại Lần cuối: 08/28/2011 08:32:00 - Bản sửa đổi: 2.0

Microsoft ASP.NET 1.1, Microsoft ASP.NET 1.0, Microsoft Internet Information Services 6.0

  • kbauthentication kbwebforms kbdomain kbclient kbconfig kbwebserver kbhowtomaster kbhowto kbmt KB810572 KbMtvi
Phản hồi