iis7 делегирует пользователя проверки подлинности Windows в пул приложений для доступа к серверной части sql

То, как наша организация обеспечивает безопасность, полностью основано на SQL Server. В основном пользователи добавляются в группы Active Directory, затем эти группы связываются с базами данных.

Итак, у меня есть приложение Silverlight RIA на основе интрасети. Его конфигурация настроена на использование проверки подлинности Windows и олицетворения. Веб-сервер, на котором он размещен, настроен на использование олицетворения и проверки подлинности Windows.

Поскольку это приложение обращается к серверной части SQL Server, как я могу передать данные аутентифицированных пользователей в пул приложений. Итак, приложение запрашивает базу данных под своими учетными данными? Или как я могу запросить базу данных, используя свои учетные данные через IIS 7.

Спасибо


authentication sql-server iis-7 impersonation
person BBurke    schedule 03.02.2011    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это классическая проблема двойного перехода, когда NTLM может передавать учетные данные только от клиента (silverlight) на один сервер (веб-уровень). В этот момент у сервера есть только токен, а не пара «пользователь/пароль», поэтому он не может создать следующий токен для передачи на второй сервер (в данном случае SQL). При этом вы не можете напрямую достичь того, чего хотите.

Вы не можете «заставить пул приложений принять идентификатор»; но если я правильно помню, Keberos и делегирование аутентификации AD могут решить этот сценарий доступа SQL через веб-уровень с использованием учетных данных клиента.

Взгляните на этот поток: Решение, которого следует избегать двойной переход от клиента › веб-сервис › SQL Server

person Taylor Bird    schedule 03.02.2011