從IIS到SQL服務器的Kerberos雙躍點委派(使用django)
[英]Kerberos Double Hop Delegation from IIS to SQL server (using django)
問題描述
我需要將憑據(集成Windows身份驗證)從IIS上的django網站傳遞到后端SQL服務器,以便它在適當的用戶上下文中運行。
這是我的設置到目前為止的樣子 :
- 在服務帳戶
domain\\svc_sqlserver下的sql_sever.domain.com上運行SQL Server - 在
app_server.domain.com使用IIS在服務帳戶domain\\svc_appserver下運行Django網站,使用Windows身份驗證和ASP.Net模擬(提供者設置為Negotiate:Kerberos -> Negotiate -> NTLM),使用useAppPoolCredentials=True - 通過在連接中設置
Trusted_Connection=yes,使用Windows身份驗證從django連接到SQL Server 為
domain\\svc_sqlserver和domain\\svc_appserver配置了用於Kerberos身份驗證的SPN,如下所示:setspn -a HTTP/app_server domain\\svc_appserver setspn -a HTTP/app_server.domain.com domain\\svc_appserver setspn -a MSSQLSvc/sql_server.domain.com:PORT domain\\svc_sqlserver setspn -a MSSQLSvc/sql_server.domain.com:INSTANCE domain\\svc_sqlserver setspn -a MSSQLSvc/sql_server.domain.com domain\\svc_sqlserver信任
svc_sqlserver和svc_appserver以便委托給MSSQLSvc服務,另外對於domain\\svc_appserver我也添加了HTTP服務(來自上面的列表)
結果 :
- Kerberos身份驗證適用於SQL Server。 通過查看連接用戶的身份驗證方案來確認
- Kerberos身份驗證適用於Django網站。 通過檢查
WWW-Authenticate響應頭和Authorization請求頭(正確使用Negotiate)確認 - 僅限SQL Server下的上下文中運行
domain\\svc_appserver時,應在運行domain\\remote_user
我已經在這方面工作了一個多星期但是對於我的生活,我無法弄清楚如何將經過身份驗證的用戶的上下文從IIS傳遞到SQL Server。 我瀏覽了數百個在線發現的鏈接,我不知道此時該怎么做。
還有什么我想念的嗎? 在建立與數據庫的連接之前,Django有沒有辦法設置用戶的上下文? 如果有人可以提供幫助,我真的很感激。 謝謝!
我正在使用 :
- django 2.0.7
- Django的pyodbc -蔚藍
- Python 3.6.5
- IIS 10,SQL Server 2014
1 個解決方案
解決方案1
3 已采納 2018-08-31 19:13:45
我不認為在FastCGI或Kestrel工作進程中運行的任何東西都實現了模擬。 請參閱例如ASP.NET核心:
如果您使用HTTP Basic身份驗證,這需要用戶分叉密碼,您可以使用Win32執行登錄並自行進行模擬。 但對於NTLM和Kerberos,沒有簡單的方法可以在python進程中模擬調用用戶。
或者,如果這是一個自定義應用程序,您可以使用SQL模擬 ,或將最終用戶的標識傳遞給SESSION_CONTEXT ,服務器端代碼可以在SESSION_CONTEXT中看到它。 也有可能增強django-pyodbc-azure來做到這一點。
我能想到的另一件事是通過實現一個模仿用戶並管理在最終用戶身份下運行的 python 進程的ASP.NET HttpHandler來推送自己的Django主機。
雙跳 IIS 到 SQL 服務器身份驗證在本地工作,不能在遠程工作
[英]Double hop IIS to SQL Server authentication works locally, doesn't work remotely
由於雙跳故障,委派受約束,遠程Powershell請求中的SSPI SQL訪問失敗
[英]SSPI sql access fails in remote powershell request due to double-hop failure, constrained delegation
避免從客戶端> Web服務> SQL Server雙跳的解決方案
[英]Solution to avoid double-hop from client > web service > SQL Server
ASP.NET 4中的雙跳模擬,協議轉換和約束委派
[英]Double Hop Impersonation, Protocol Transitioning and Constrained Delegation in ASP.NET 4
無法使用Kerberos從RHEL Server 7.4連接到SQL Server
[英]Unable to connect to SQL server from RHEL server 7.4 using Kerberos
Python write XML data from API to SQL Server (using parse to.csv as intermediate hop)
[英]Python write XML data from API to SQL Server (using parse to .csv as intermediate hop)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Kerberos雙跳認證 - SQL Server
Kerberos雙跳
雙跳 IIS 到 SQL 服務器身份驗證在本地工作,不能在遠程工作
由於雙跳故障,委派受約束,遠程Powershell請求中的SSPI SQL訪問失敗
ASP.NET 4.0和SQL2008R2中的Kerberos雙躍點
避免從客戶端> Web服務> SQL Server雙跳的解決方案
IIS到SQL Server kerberos auth問題
ASP.NET 4中的雙跳模擬,協議轉換和約束委派
無法使用Kerberos從RHEL Server 7.4連接到SQL Server
Python write XML data from API to SQL Server (using parse to.csv as intermediate hop)
相關標簽