IIS作為AzMan作為服務帳戶運行
[英]IIS running as service Account with AzMan
問題描述
由於IP的原因,我要求網站作為服務帳戶運行,我還希望能夠使用AzMan進行用戶的Auth / Auth。 由於某種原因,我似乎無法使它們一起工作。 我已經建立了一個示例應用程序來測試從根本上吐出一些用戶憑據的水域。 除了Azman和設置的Web配置外,該應用程序沒有集成代碼(沒有日志記錄/數據庫/ Webserice交互),它是一個尋呼機。
在網絡服務帳戶下運行應用程序池,但拒絕Anon訪問,我得到:
Windows Identity Check - Name: 'NT AUTHORITY\NETWORK SERVICE'
Request.LogonUserIdentity.Name = 'CT\rhyc'
HttpContext.User.Identity.Name = 'CT\rhyc'
User.Identity.Name = 'CT\rhyc'
Is in UserRole = 'True'
..一切都很好,一切正常,但是服務帳戶是網絡服務,而不是我應該使用的服務帳戶。 如果我將帳戶切換到服務帳戶,則會彈出一個窗口,詢問用戶憑據(我不希望這樣做,它應該是單點登錄); 但是我在以前的設置中傳遞了這些憑據(ct / rhyc)
(顯然)已經在網站上運行了setspn命令,但是我真的不知道spn做什么,更不用說知道如何檢查它了。 另外,如果我允許運行服務帳戶的應用程序池進行匿名訪問,則會得到:
Windows Identity Check - Name: 'CT\SVC-PERAT2-T2DEV'
Request.LogonUserIdentity.Name = 'PERAT2NTAH3WD1\CVX_IUSR'
HttpContext.User.Identity.Name = ''
User.Identity.Name = ''
Is in UserRole = 'False'
抱歉,我是IIS n00b,通常我不會這樣做,但是我們的管理員似乎對IIS不太了解,所以留給我了.. :(
2 個解決方案
解決方案1
1 已采納 2009-08-20 03:21:54
使用SPN,您將進入Kerberos領域。 這通常是未知區域。
有一本很好的白皮書介紹了有關此問題的安全疑難解答: http : //www.microsoft.com/DOWNLOADS/details.aspx? FamilyID=7dfeb015-6043-47db-8238-dc7af89c93f1&displaylang=en
它解釋了如何打開更多日志記錄以了解auth問題的根源。 通常,這與未在Exchange中設置傳遞用戶憑據等方面的委托有關。
此處更多信息: http : //support.microsoft.com/kb/262177
解決方案2
0 2009-08-20 09:28:01
好的,看來我們在吠錯樹。 從來沒有要求使用Kerbros,有些是如何在中國低語中溜走的。 我們已更改為僅NTLM,一切都很好。
下方的cmd
cscript adsutil.vbs設置為w3svc / 1152622725 / root / NTAuthenticationProviders“ NTLM”
其中1152622725是網站ID
感謝所有幫助人員,他們汲取了教訓:不要與kerbros爭吵,因為它會咬人!
IIS網絡用戶帳戶可以調用在其他帳戶下運行的WCF服務嗎?
[英]Can the IIS network-user account call a WCF service running under a different account?
IIS服務以“本地系統”帳戶運行,因此如何授予它共享目錄權限?
[英]IIS service is running as Local System account, so how do I give it shared directory permissions?
當IIS在服務帳戶下運行時,如何在ASP.NET中獲取當前的Active Directory用戶
[英]How to get current Active Directory user in ASP.NET when IIS is running under a service account
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.