最近、イントラネットアプリケーションの最新バージョンをリリースしました。これは、Windows認証を標準として使用しており、エンドユーザーのドメイン資格情報を使用して構成済みのSQLサーバーに接続できる必要があります。
最近、いくつかのお客様の展開で、IISはユーザーのドメイン資格情報を確認できますが、これらをSQLサーバーに渡さないことがわかりました。代わりに、匿名アカウントを使用しているようです。これは、すべての正しい手順(ディレクトリセキュリティをWin Authに変更し、Win Authを使用するようにWeb.Configを更新し、匿名ユーザーを拒否する)に従っているにもかかわらずです。
私はKerberosが適切に配置されていることを確認する必要があることを示唆する多くの読書を行ってきましたが、(a)これがどれほど有効であるか(つまり、それは本当に要件ですか?)または(b)どのように行うかはわかりません設定されているかどうか、または設定方法を調査します。
私たちは、IISまたはアプリケーションを顧客のために機能するように構成するか、それを機能させるために何をする必要があるかを顧客に正確に説明できるようにする必要がある状況にあります。
テストSQLサーバーと開発者のIISボックスを使用して、内部ネットワークでこれを再現することができたので、この設定をいじって、解決策を考え出すことができるかどうかを確認します。明るいアイデア、私はそれらを聞いて最も幸せです!
特にKerberosに関する人々の考えやアドバイスを聞きたいです。これは要件ですか。要件がある場合、どのように構成する必要があるかを顧客に説明するにはどうすればよいですか。
ああ、そして私はまた、ドメインの「古典的なワンホップルール」とウィンドウのクレデンシャルの受け渡しについて言及している人もいますが、これが実際にどれほどの重みを持っているのかわかりませんか?
ありがとう!
マット