Меня немного сбивает с толку Impersonation Identity в IIS7.5
В старые добрые времена вы могли просто вставить web.config и назвать это хорошим. Затем каталоги могут быть заблокированы для определенного пользователя, и тогда IIS сможет получить доступ к ресурсам, таким как хранимые процедуры Sql Server, к которым у этого пользователя есть разрешения.
С новым интегрированным трубопроводом это больше не работает. Я мог бы переключиться на «классический» конвейер, но это будет работать только до тех пор, пока я хочу делать вещи предпочитаемым «современным» способом.
Я определенно хочу сохранить два уровня безопасности. Анонимная сторона сайта будет иметь доступ к SPROC, необходимым для отображения анонимных данных, а административная часть будет иметь дополнительный доступ. Как это можно сделать без олицетворения личности?
Олицетворение по-прежнему работает, но для доступа к серверу sql (второй переход) вы должны использовать «делегирование». Самая важная часть работы делегирования - это использование kerberos. Одно дело - установить и включить его, другое - убедиться, что он действительно используется. При поиске в Google "два шага" и "делегирование" вы получите много информации о том, как делать, некоторые лучше, чем другие. У этого есть красивые картинки
Я рекомендую сначала протестировать в IE.
После того, как он заработает, то есть перейдите в Chrome, где серверы, к которым IIS должен подключиться, должны быть внесены в белый список. Самый важный ключ для установки - AuthNegotiateDelegateWhitelist.
Отличный вопрос! Я не знал, что в IIS 7.5 все было иначе, пока не прочитал ваш пост. (Я бы проголосовал за вас, но у меня недостаточно очков).
Я нашел хороший пост от человека, который работает в основной команде IIS. Возможно, это вам немного поможет.