IIS 6.0 で正しく動作する Web サイトがあります。Windows 資格情報でユーザーを認証し、DB にアクセスするサービスと通信するときに資格情報を渡します。
IIS 7.0 では、同じ構成設定が資格情報を渡さず、DB が NT AUTHORITY\ANONYMOUS でヒットします。
足りないものはありますか?IIS 7.0 Web サイトで ANONYMOUS アクセスをオフにしましたが、機能しません。
これらは、IIS 6.0 と 7.0 の両方で使用している設定です。
<authentication mode="Windows">
<identity impersonate="true">
6.0 から 7.0 への変更点は何ですか?
IIS7 と IIS6.0 の間で変更がありました。実際に役立つ可能性のあるブログ投稿を 1 つ見つけました (ここをクリックして参照してください)。
アプリケーションを統合モードまたはクラシック モードで実行していますか? 私が見たところ、Impersonate 属性を true にすると、500 エラーと次のエラー メッセージが表示されるはずです。
内部サーバーエラー。これは HTTP エラー 500.19 です: ページの関連構成データが無効であるため、要求されたページにアクセスできません。
提案されている回避策は次のとおりです。
回避策:
1) アプリケーションが、BeginRequest および AuthenticateRequest ステージ (統合モードで偽装が不可能な唯一のステージ) で要求元ユーザーの偽装に依存していない場合は、アプリケーションの web.config に次を追加して、このエラーを無視します。
<validation validateIntegratedModeConfiguration="false"/>
2) アプリケーションが BeginRequest と AuthenticateRequest の偽装に依存している場合、またはよくわからない場合は、クラシック モードに移行してください。
IIS 7.0 が現在どのように機能するかを理解するのに役立つことを願っています。
IIS サーバーは、SQLServer による委任に対して信頼されるように設定されていますか? ファイル サーバーに代わって認証するために、IIS を実行しているサーバーがファイル サーバーによって信頼されている必要がある WebDAV で、これに遭遇したことがあります。
興味深い...反対の問題があります-クライアントブラウザーから、Webサーバーを介して、ファイアウォールを介した大規模な企業ネットワーク内のデータベースに認証を渡すことができません。
また、データベースに対する「エンド ツー エンド ユーザー」認証は悪い考えであり、セキュリティ リスクの可能性があると感じています。エンド ユーザーが SQL クエリを読み込んでデータベースに直接接続するのを止めるものは何もないので、スキーマをロックダウンしたほうがよいでしょう。
@Esteban -あなたが答えるのを助けるのにあまり役に立たないことを明確にしました。
通常、このようなダブル ホップ認証を行う場合、最初の認証が Basic でない限り、Kerberos が通常関与します。
IIS 6 サーバーで認証を確認し、IIS 7 でも同じであることを確認します。
IIS 6 ボックスが Windows 統合に設定されている場合は、kerberos 設定 (SPN、委任など) を確認する必要があります。