Какие имена участников-служб необходимы для веб-службы интрасети, которая считывает удаленные реестры

Question

Какие имена участников-служб необходимы для веб-службы интрасети, которая считывает удаленные реестры

Представьте себе веб-сайт, на котором отображается значение удаленного ключа реестра, например, версии антивирусных определений на удаленном ПК. Чтобы было ясно, задействовано 3 компьютера, веб-сервер выступает в качестве посредника.

Веб-сайт использует проверку подлинности Windows, поэтому через браузер в Windows ваши учетные данные AD передаются, а IIS проверяет подлинность пользователя (в ASP.NET маркер пользователя подключен и может проверяться программно).

Мы работаем на IIS 7.5 с проверкой подлинности в режиме ядра. Нужно ли настраивать SPN в AD, чтобы разрешить Kerberos часть проверки подлинности Windows??

Сайт работает под пулом приложений с учетной записью AD DOMAIN\AV1, эта учетная запись является членом группы, которая имеет права на компьютеры в локальной сети.

Код на сайте не выполняет олицетворение, так как не хочет принимать идентификатор пользователя сайта (у которого нет прав на удаленную регистрацию), поэтому он просто делает удаленный вызов реестра.

Нужна ли учетная запись компьютера веб-сервера или учетная запись DOMAIN\AV1 для согласования и выполнения проверки подлинности Kerberos на удаленных компьютерах?

3

active-directory windows-server-2008 security iis-7.5 spn

Источник

Luke Puplett 19 авг '13 в 14:42

1 ответ

Решение

Другие вопросы по тегам active-directory windows-server-2008 security iis-7.5 spn

Greg Askew 19 авг '13 в 15:15 2013-08-19 15:15 · Accepted Answer · 2013-08-19 15:15

Да, вы не можете аутентифицироваться в Kerberos без SPN. Контрольный список для настройки имени участника-службы для учетной записи компьютера находится здесь:

http://blogs.msdn.com/b/webtopics/archive/2009/01/19/service-principal-name-spn-checklist-for-kerberos-authentication-with-iis-7-0.aspx

Если это только один веб-сервер, два стандартных имени участника-службы для учетной записи компьютера. Если это веб-ферма, вы, вероятно, захотите выбрать учетную запись домена и убедиться, что она имеет требуемые имена участников-служб.

Когда вы заявляете "Код на сайте не выполняет олицетворение", вы должны иметь в виду, что если учетная запись компьютера IIS не выполняет доступ к удаленным системам, ей необходимо делегировать возможность аутентификации от имени других пользователей. учетные записи, такие как учетная запись DOMAIN\AV1. Если вы используете неограниченное делегирование, конфигурация проста.

Вы можете захотеть протестировать с помощью инструмента DelegConfig, который вы можете перетащить на веб-сайт и настроить папку приложения для. Он предоставляет простой графический интерфейс, который выполняет необходимые проверки для вас.

http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/delegconfig-delegation-configuration-reporting-tool.aspx

http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/the-biggest-mistake-serviceprincipalname-s.aspx