- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
这是我一直在尝试做的
使用表单例份验证和事件目录成员身份构建 ASP.NET MVC 3 应用程序。 Web 服务器和数据库是不同的物理服务器,因此是双跳。
我认为答案是 constrained delegation and protocol transition 上的这篇较早的文章?到目前为止,我还不能让这项技术发挥作用。
在部署到生产设置中的 Windows 2008 (IIS7) 之前,我正在从我的 DEV 机器(Windows 7、IIS7)上测试这个 Web 服务器。 Windows 2008 会有所作为吗?
什么有效,什么失败
我可以使用表单例份验证和 AD 成员身份登录。这似乎工作正常。当我尝试使用此代码进行数据库调用时:
public void AsUser(Action action)
{
using (var id = new WindowsIdentity(User.Identity.Name + @"@example.com"))
{
WindowsImpersonationContext context = null;
try
{
context = id.Impersonate();
action.Invoke();
}
catch (Exception ex)
{
// ex.Message is The type initializer for System.Data.SqlClient.SqlConnection threw an exception
// buried inner exeption is Requested registry access is not allowed
}
finally
{
if (context != null)
{
context.Undo();
}
}
}
}
Requested registry access is not allowed
.
WindowsIdentity
在
Impersonate()
之后打电话我看到
ImpersonationLevel
设置为
Identification
.这似乎是它设置不正确的线索。任何人都可以确认吗?
最佳答案
我认为你在正确的轨道上。您只需要对协议(protocol)转换设置进行更多故障排除工作。
我假设您正确配置了 Active Directory 成员资格提供程序,以便您可以使用 Active Directory 用户名和密码成功登录您的网页。如果不是这样,请忽略我的其余答案:)
根据我在您的问题中看到的,您使用 WindowsIdentity 的 S4USelf 获得了用户的 token 。然后,您使用 S4UProxy 将模拟 token 传递给 SQL 服务器。既然你说你得到了ImpersonationLevel.Identification
只是,这意味着您没有进行协议(protocol)转换。
您需要了解允许一台机器在域中进行协议(protocol)转换是非常高的特权。授予服务器进行协议(protocol)转换几乎意味着您相信该服务器几乎就像一个域 Controller 。您需要有意识地在 AD 中做出此决定以使服务器具有此功能,并且您必须是域管理员才能进行此更改。如果你还没有这样做,你可能没有正确设置你的东西。
有几件事要检查。
首先,确保您选择了“仅信任此计算机以委派指定的服务”,然后在您的服务帐户上选择“选择使用任何身份验证协议(protocol)”。您可能想创建一个域帐户。 Here是有关如何为 ASP.NET 创建服务帐户的链接。请记住,您需要一个域帐户。创建域服务帐户后,请确保转到该帐户的委派选项卡并选择正确的选项。
其次,您需要确保正确设置 SPN。我意识到您发布的链接仅提及您的 ASP.NET 服务帐户的 SPN。实际上,您还需要确保您的 SQL 服务器上的服务帐户也设置正确。否则,Windows 根本不会使用 Kerberos 身份验证。它将回退到使用 NTLM。在 SQL Server 上正确设置 SPN 有很多细节。您可以查看here先看看你有没有运气。根据我的经验,大多数 DBA 都不知道如何正确设置它们。他们甚至没有意识到这一点,因为大多数应用程序都可以在 NTLM 上正常工作。您需要注意 SQL Server 服务帐户和它使用的端口号。
第三,您需要确保没有禁用您的 Kerberos 委派。一些敏感的 AD 账户默认是不允许委托(delegate)的。例如,内置管理员帐户。因此,您最好使用其他一些普通用户帐户进行测试。
更新
我刚刚找到 another article教你如何设置 ASP.NET 的协议(protocol)转换。它提到您需要向 IIS 服务帐户授予 TCB 权限,以确保它可以创建 Impersonation
。键入 WindowsIdentity。你可以试一试。
关于active-directory - 我可以模拟通过表单例份验证的客户端并建立与 SQL Server 的受信任连接吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4947462/
我正在尝试使用 Excel 中的间接函数来构建公式以在另一张纸上返回值。 在工作表 A 单元格 D3 的值为 B 我想使用值 B 从名为 App Summary 的工作表中的单元格 B6 返回一个值。
我目前正在使用 LumiSoft 的 SIP 堆栈,并且能够在我的 FreePBX 盒子上成功注册分机并调用另一个软电话。我现在需要做的就是通过调用流式传输 WAV 文件(或 RAW,或任何可行的文件
这个问题已经有答案了: How can I fix 'android.os.NetworkOnMainThreadException'? (65 个回答) 已关闭 8 年前。 我有一个安卓 Activ
我正在使用 ws npm 在服务器端,websocket 在客户端。 从 node-js 运行此代码时它工作正常,但从浏览器运行它会出现以下错误: failed: Error in connectio
当我将鼠标悬停在想要淡入和淡出的内容上多次时,它就会不断重复。即使我停止悬停它。我怎样才能阻止这个? $(".featured").hover(function(){ $(this).find
我需要建立一个 mysql 连接并取回一些数据。我可以使用此代码在 Java 中执行此操作 try{ String username;
不能制造愚蠢。具有下一个文件夹结构: /flint/double-conversion/src /燧石/愚蠢/愚蠢/ 其中/flint/folly 包含自述文件和许可证。作为in the readme
我想在编译主单元之前在程序集中嵌入本地引用。但书面目标不起作用。 WithMetadataValue( 'CopyLocal', 'true' )->Met
我不是软件专家,但我确实需要一些建议。 我正在编写一个 C 程序(在下面剪切/粘贴)以通过 LAN(以太网)建立从我的 Mac Pro 到位于它旁边的基于 Windows XP 的测试仪器的 TCP
我正在构建一个应用程序,我的手机经常将数据发送到我的服务器。由于我将使用我的移动数据,我想知道建立(和拆除?)到我的服务器的 TCP 连接需要多少数据。 最佳答案 TCP 三向握手 Device 1
我有一个带有登录表单的网站。当加载登录表单页面时,我创建一个新的 PDO 对象以查看连接是否正常工作。如果成功打开连接,查看者将看到一个登录表单。如果不成功,他们会收到一条消息,说明服务器已关闭。 然
构建我的Electron应用程序后,它将显示产品名称undefined。如何设置其他名称呢? 当前是这样的: 最佳答案 请尝试此操作。引用此链接 https://www.electronjs.org/
我有一个项目在哪里使用这个 jar 。 据我所知...发生 war 之后,文件夹WEB-INF/lib必须具有: mail-1.4.1.jar activation-1.1.jar mysql-con
代码: %{ #include #include #include #include "gener.h" #include "sym_tab.h" #include "scope.h" #inc
我需要将侧边栏小部件集成到我的高流量页面(称为SiteA)中。该小部件应包含我的其他页面之一(称为 SiteB)的最新文章。 在我看来,我有两种可能的解决方案。 SiteA 上的 cUrl 调用从 S
我正在尝试建立 Cortana 技能,以便能够使用 Surface 相机拍照。怎么做?目前我的技能是能够使用bot框架和使用nodejs来回答问题。代码看起来像 bot.dialog('ScanCar
这个问题在这里已经有了答案: Resolving javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExce
当我与网络服务器建立 https 连接时出现 SSLProtocolException。我只在 Android 2.3 Gingebread 中有这个异常(exception);相同的代码在所有其他
我想做的是指定几个端口,然后检查它们是否已建立连接。我找到了以下脚本并运行了,但它只列出了 3 个端口,我不明白为什么。我验证了相关端口的事件规则(以及下面输出中未列出的许多其他端口)。 Set ob
使用 MySQL 我试图使用已经上传到数据库中的数据建立一对多关系。举个例子,假设我在一个表中有一个名字列表,我想将它们连接到一个他们去过的地方的列表。显然 1 个人可以去很多不同的地方,但我在设置时
我是一名优秀的程序员,十分优秀!