Назад | Перейти на главную страницу

Какие имена участников-служб необходимы для веб-службы интрасети, считывающей удаленные реестры

Представьте себе веб-сайт, который показывает значение ключа удаленного реестра в реальном времени, например версию антивирусных определений на удаленном ПК. Чтобы было ясно, задействовано 3 компьютера, а веб-сервер выступает в качестве посредника.

Веб-сайт использует аутентификацию Windows, поэтому из браузера в Windows передаются ваши учетные данные AD, и IIS аутентифицирует пользователя (в ASP.NET токен пользователя прикреплен и может проверяться программно).

Мы работаем на IIS 7.5 с аутентификацией в режиме ядра, нужно ли настраивать SPN в AD, чтобы разрешить Kerberos часть аутентификации Windows?

Сайт работает в пуле приложений под учетной записью AD. ДОМЕН \ AV1, эта учетная запись является членом группы, имеющей права на компьютеры в локальной сети.

Код на сайте не выполняет олицетворение, поскольку он не хочет принимать идентификатор пользователя сайта (у которого нет прав удаленной регистрации), поэтому он просто выполняет удаленный вызов реестра.

Учетная запись компьютера веб-сервера или учетной записи DOMAIN \ AV1 требуется SPN для согласования и выполнения аутентификации Kerberos на удаленных компьютерах ??

Да, вы не можете пройти аутентификацию в Kerberos без SPN. Контрольный список для настройки SPN для учетной записи компьютера находится здесь:

http://blogs.msdn.com/b/webtopics/archive/2009/01/19/service-principal-name-spn-checklist-for-kerberos-authentication-with-iis-7-0.aspx

Если это только один веб-сервер, стандартные два SPN для учетной записи компьютера. Если это веб-ферма, вы, вероятно, захотите выбрать учетную запись домена и убедиться, что эта учетная запись имеет необходимые SPN.

Когда вы указываете «Код на сайте не выполняет олицетворение», вы должны иметь в виду, что если учетная запись компьютера IIS не выполняет доступ к удаленным системам, ей необходимо делегировать возможность аутентификации от имени других учетные записи, такие как учетная запись DOMAIN \ AV1. Если вы используете неограниченное делегирование, конфигурация проста.

Возможно, вы захотите протестировать инструмент DelegConfig, который вы можете перетащить на веб-сайт и настроить папку приложения для. Он предоставляет простой графический интерфейс, который выполняет необходимые проверки за вас.

http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/delegconfig-delegation-configuration-reporting-tool.aspx

http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/the-biggest-mistake-serviceprincipalname-s.aspx