Делегация Asp.net

Question

Делегация Asp.net

Я делаю.Net Web API, который получает данные, вызывая SQL-сервер. Пользователь проходит проверку подлинности через проверку подлинности Windows (Kerberos). Я хотел бы, чтобы учетные данные пользователя передавались на сервер SQL через делегирование, но сервер SQL видит анонимного пользователя.

Вот что я сделал:

Приложение IIS: включена аутентификация Windows и олицетворение asp.net. Анонимная проверка подлинности с помощью форм отключена Включить проверку подлинности в режиме ядра проверено. Провайдеры: переговоры, Kerberos. Использовать учетные данные пула приложений: True.
Пул приложений: управляемый конвейерный режим: классический. Идентичность: Сетевой сервис.
В AD компьютер, на котором работает веб-сервер, настроен на "Доверять этому компьютеру возможность делегирования какой-либо конкретной службе (только Kerberos)"
Строка подключения к серверу SQL содержит Integrated Security=SSPI;
Изменить: в моем web.config у меня есть

 <system.web>
    <authentication mode="Windows" />
    <identity impersonate="true" />
  </system.web>

а также

<security>
  <authentication>
    <windowsAuthentication enabled="true">
      <providers>
        <clear />
        <add value="Negotiate" />
        <add value="Kerberos" />
      </providers>
      <extendedProtection tokenChecking="None" />
    </windowsAuthentication>
   <anonymousAuthentication enabled="false" />
  </authentication>
</security>

Общий HOST spn устанавливается для машины.

Из браузера я получаю доступ к веб-приложению через http://machinename.domain.net/.

Я ожидал бы в этой настройке, что мое приложение IIS выполняется под учетной записью компьютера?

Когда я отлавливаю запрос в отладчике на веб-сервере, я вижу, что WindowsIdentity.GetCurrent().Name - это учетная запись пользователя, просматривающего веб-приложение, а WindowsIdentity.GetCurrent().AuthenticationType имеет значение "Kerberos". Так что это должно быть хорошо.

Однако для WindowsIdentity.GetCurrent().ImpersonationLevel установлено только "Impersonate". Я ожидал, что будет установлено "Делегировать"?

Когда я делаю запрос к серверу SQL, я получаю "Ошибка входа в систему для пользователя NT AUTHORITY\ANONYMOUS LOGON", поэтому очевидно, что учетные данные пользователя не передаются на сервер SQL.

Я надеюсь, что кто-то может увидеть, что я делаю неправильно. Мне действительно нужен толчок в правильном направлении.

4

asp.net sql-server iis kerberos kerberos-delegation

Источник

user5437436 12 окт '15 в 16:42

2 ответа

Другие вопросы по тегам asp.net sql-server iis kerberos kerberos-delegation

user5437436 28 окт '15 в 13:25 2015-10-28 13:25 · Answer 1 · 2015-10-28 13:25

Для дальнейшего использования, если кто-то столкнется с той же проблемой: проблема заключалась в том, что мы попробовали Chrome. Это работает в IE, но в Chrome было необходимо изменение реестра, упомянутое в этом посте: делегирование Kerberos не работает в Chrome

user5398898 12 окт '15 в 16:49 2015-10-12 16:49 · Answer 2 · 2015-10-12 16:49

Вы должны иметь возможность установить Аутентификацию на Олицетворение ASP.NET в IIS. Вероятно, вам потребуется установить следующее в вашем файле web.config, как часть раздела .

    <identity impersonate="true" />

Это может потребоваться в разделе , но не всегда рекомендуется из-за проблем безопасности.

<validation validateIntegratedModeConfiguration="false" />