問題タブ [integrated-security]

Windows ユーザー権限と SQL Server GRANT のセットの違いは、無関係な概念のように思えます。多くの場合、実際にはデータベース ロールの疑似ログインで実装されているようです。しかし、それは Windows のアクセス許可に有効にマップされません。単一ログイン ID 検証を前提として、可能な限り単純なデータベース ロールを使用しないのはなぜでしょうか?

編集:
これまでのところ、アプリケーションにパスワードを保存する必要がないという 1 つの利点を取り上げてきました。しかし、それは設計目標というよりも、些細な有益な結果のように思えます。両方の宇宙のセキュリティ装置全体を密接に結合することなく、それを達成するためのより直接的な方法は他にもたくさんあります。

もう一度編集:
単一のログインとSDがグループを維持する機能以外に、提案する利点はありませんか?

グループの問題にはいくつかの欠陥があります。たとえば、AD マネージャーは両方を維持する資格があると想定されています。また、AD の一部ではないネットワーク接続を除外します (そのため、MS テクノロジにロックされます)。

ベスト プラクティスの用語で言えば、システムの結合を組み込みましたが、これは一般に悪いことであると認められています。

WinFormsアプリを使用して、背後にSQLサーバーがあるシステムで作業する企業イントラネットユーザーがいます。統合セキュリティがセットアップされ、すべてのユーザーに更新と削除のアクセス許可が許可され、アプリケーション セキュリティによってテーブルの更新の方法と場所が制限されます。

ただし、一部のユーザーは SQL クエリ ツールを自由に使用できるパワー ユーザーであり、レポートを作成するために DB に直接アクセスします。ただし、統合されたセキュリティを使用すると、アプリケーションが更新にルールを適用するため、テーブルに対するデフォルトの更新権限が付与されます。

これは、ユーザーが統合セキュリティの読み取り専用権限を取得する一方で、中央の SQL 認証ログインをアプリに提供する方が適切な例ですか?

.NET 2.0 プラットフォームでイントラネット Web アプリケーションを開発しています。アプリケーションは、シングル サインオンに統合 Windows 認証を使用しています。ユーザーは、所属する Active Directory グループに応じて、さまざまなモジュールを使用する権限を与えられています。

認証と承認が完了するまでは、すべて正常に機能します。しかし、アプリケーションが MSSQL Server 上のデータベースに接続しようとすると、問題が発生します。

お客様のセキュリティ ポリシーによると、暗号化されている場合でも、データベース ユーザーまたはパスワード データを接続文字列またはレジストリに保持することはできません。そのため、接続文字列で Integrated Security=SSPI を使用する必要があります。

IIS のアプリケーション プールは、データベースにアクセスできる ID ユーザーを使用して構成されます。

Windows 統合認証を無効にすると、アプリケーション プールの ID ユーザーでデータベースに接続します。しかし、統合認証がオンの場合、アプリケーションはログオン ユーザー資格情報を使用してデータベースに接続しようとします。

問題を解決するために、偽装の有無にかかわらず、統合認証のあらゆる組み合わせを試しました。

この競合を解決する方法はありますか?

現在、クラシックASPとVisual Basic 6で構築された次のアーキテクチャがあります

データベースに接続する VB6 で開発された COM+ コンポーネントがあります。統合セキュリティで構成された .udl ファイルを介して DB conf を設定しました。

Web サーバー (IIS) でコンポーネントを com+ マネージャーに登録し、mydomain\appAccount などのアカウント名で実行されるように構成します。

SQL 2005 では、適切なアクセス許可に mydomain\appAccount を付与します

aspから、server.createobjectでコンポーネントを使用するだけです...

Javaで同様のソリューションを開発したいのですが、質問は次のとおりです。

出来ますか？

SQL Server 2005 db に接続するようにドメイン アカウントを構成するにはどうすればよいですか?

db conf はどこに保存すればよいですか? また、ドメイン アカウントはどこで設定すればよいですか? tomcat/jetty構成で?

解決策をできるだけシンプルかつ簡単にしたいと思います (glassfish や jboss などを避けようとしています)。

ええと、どうもありがとう...

これは私を殺している。統合セキュリティを使用する ASP.net (2.0 Framework) アプリを使用しています。IIS は適切にセットアップされており、既定の Web サイトから離れた仮想ディレクトリとして正常に動作します。OLEDB 接続 (Jet 4.0) は正常に機能し、ネットワーク共有 (\GIS1\GIS Server - PublicWorks_StreetSigns) を介してデータベース ファイルに接続します。

しかし、IIS の「Web サイト」を作成して、まったく同じホーム ディレクトリを指定すると、エラーが発生します...

DBF からデータを取得中にエラーが発生しました。「\GIS1\GIS Server - PublicWorks_StreetSigns」は有効なパスではありません。

これを機能させるには、デフォルトの Web サイトと仮想の Web サイトで異なることを行う必要がありますか? Web サイトの設定に対して仮想設定を 3 回確認しましたが、すべて同じです。

前もって感謝します。

NAnt（V0.86.3317.0）を使用してSourceGear Vault（V4.1.4）でいくつかのタスクを実行したいと考えています。

VaultにNAntからのWindows認証を使用して接続を作成させる方法はありますか？

ボールト接続を初期化するために使用しているNAntブロックは次のとおりです。

私は他の開発者と一緒にプロジェクトに取り組んでいるので、ユーザー名とパスワードをNAntビルドファイルにハードコーディングすることはお勧めできません。usernameとの両方がコマンドpasswordの必須オプションです。vaultsetloginoptions

他の選択肢（すべてキャッチ付き）には次のものがあります。

（a）「Admin」アカウントをNAntプロパティにハードコーディングし、それを使用してボールトにログインします。NAntスクリプトが実行するチェックイン/チェックアウト操作の責任者の監査証跡が失われるため、これはそれほど素晴らしいことではありません。また、ソリューションでファイルがチェックアウトされている場合にも問題が発生します（スクリプトの一部により、Vaultでラベルを生成する前に、すべてのファイルがソース管理にチェックインされます）。

（b）NAntコードのC＃スクリプトを使用して、ユーザー名とパスワードのプロパティを動的に設定します...ただし、ユーザーからパスワードを取得する際に問題が発生する場合を除きます。

（c）Vaultクライアントから保存されたプロファイル情報を読み取り、それを使用して接続します（保存場所がわからない場合を除く）。

クライアントが統合 Windows 認証を必要とするシステムがあります。これは、Sql Server 2005 に接続する ASP.NET 3.5 アプリケーションです。Web サーバーは Server 2003 R2 SP2 です。db サーバーは Server 2003 SP2 (R2 ではありません) です。

dbサーバーで、次のスクリプトを実行しました

現在、Windows ユーザー グループ「myDomain\myUserGroup」に 3 人のユーザーがいます。3 人のユーザーのアカウントはすべて、委任に対して信頼済みとしてマークされています。AD の Web サーバー アカウントは、委任に対して信頼できるとマークされています。

Web アプリケーションは、Windows 認証を使用するようにマークされています (その他はすべてオフになっています)。web.config には次の行があります。

しかし、ユーザー グループに属するユーザーで Web アプリケーションに接続しようとすると、次のエラーが表示されます。

私の接続文字列は、次のように構築された Sql ConnectionStringBuilder から構築されています。

許可されたアカウントの1つをweb.config <identity />行で偽装するようにハードコードすると、機能します。しかし、ハード コードされたアカウントを削除して、クライアントのマシンから ID を渡そうとすると、. エラーが発生します。

そのため、マルチホップ統合ログイン シナリオ用に何かが正しく構成されていないようですが、何がわかりません。

前もって感謝します！

ASP.NET> Kerberos> Sql Serverを有効にする簡単で簡単な方法を教えてください。

clientMachine > webServer > databaseServer があります。クライアントは、サイトがプロンプトではなく Windows ログインをプルする必要があると主張しているため、Kerberos と統合認証が必要です。また、ダブルホップを誘発して、ユーザーを db サーバーに偽装する必要があります。

私たちのドメインは Windows 2003 ドメインです。私がオンラインで知る限り、これは Kerberos が有効になっていることを意味します。また、ドメインに参加しているコンピューターでログインすると、kerbtray は大量のチケットを持っていることを示しているので、どうやら機能しているようです。

AD の Web およびデータベース サーバー コンピューター アカウントは、どちらも「委任に対して信頼されています」。
システムにアクセスする必要がある AD ユーザー アカウントは、どちらも「委任に対して信頼されています」。
すべてが機能するようになったら、さらにユーザーを追加します。今のところ 2 人です。

Sql Server インスタンスは、データベース サーバーの LocalSystem の下で実行されています。これは、オンラインでわかる限り、これらの SPN をいじる必要がないことを意味します。

それでも、どちらかのユーザーでログインしようとすると、

ダブルホップの失敗を示します。これは、db サーバーのアプリケーション ログに、同じことを言っている "MSSQL" からの多数のエントリがあるという事実によって促進されます。

これがどれだけ大変なことか、本当に信じられません... つまり、IIS、SQL、および Windows はすべて Microsoft です。

要約すると、私は

• ケルベロス ドメイン、
  
• db と web サーバーの両方が委任に対して信頼されている
  
• 委任に対して信頼されているユーザー
  
• AD グループのユーザー
  
• SQLのログインとしてのADグループ（およびdbのユーザー）
  
• 匿名がオフ、統合がオン、基本およびダイジェストがオフの IIS
• Enable Integrated をオンにした IE

イントラネットに管理 Web サイトがあり、現在IIS による統合 Windows 認証を使用しています。このアプリケーションを公開 Web サイトに移動し、SSL で保護して、ユーザーがどこからでもアクセスできるようにしたいと考えています。

HttpModule を使用して http から https にリダイレクトすることを計画していましたが、これは統合認証では機能しないようです (リダイレクトの前にログイン ポップアップが表示されます)。

IIS で「SSL を要求する」チェックボックスを使用して行き詰まっていますか? ユーザーが https URL を使用するのを忘れた場合、穏やかなリダイレクトではなく、ファットなエラー ページが表示されるため、これはユーザー フレンドリーとは言えません。

この状況であなたはどうしますか？

web.config が Forms に設定されているプロジェクトのページの 1 つで、Windows 統合セキュリティ認証を試行するリンクを設定することはできますか?