Identidades do IIS: pool de aplicativos vs conectar como nas configurações básicas

5

Na seção Configurações básicas de um site no IIS 7.5, há uma opção para especificar uma conta de usuário por meio de Connect As... . Se isso for mantido desligado, a autenticação de passagem será usada.

Eu assumi que usaria a identidade do Pool de Aplicativos, no entanto, esse não era o caso. Para fazer com que meu site se conecte ao MSSQL com a conta de usuário correta, precisei especificar o usuário na tela Connect As... .

Então, qual é a diferença entre Connect As... e a Identidade do Pool de Aplicativos?

    
por Marcus 04.03.2012 / 18:40

2 respostas

2

Eu especularia que isso pode estar relacionado à capacidade do computador para representar a identidade do pool de aplicativos na rede. O "Conectar como" tem as credenciais salvas (e criptografadas), para que possa criar um token primário completo e acessar recursos como essa identidade do usuário. Com "Usuário do aplicativo (autenticação de passagem)", seria um token existente e tentaria usar esse token para representação. Nesse cenário, se o computador que está executando a representação não é confiável para delegação, ele não terá êxito.

Isso deve ser fácil de testar e validar.

O computador é confiável para delegação? Em Usuários e Computadores do Active Directory > Computador > Propriedades > Guia Delegação. Selecione "Confiar neste computador para delegação a qualquer serviço (somente Kerberos)".

Você também pode precisar definir a configuração do IIS7 como "useAppPoolCredentials". Isso pode ser definido com o seguinte comando:

appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true  

useAppPoolCredentials = Verdadeiro com a delegação do Kerberos em 2008
link

Possivelmente relacionado:

link

    
por 04.03.2012 / 19:31
2

Descobri o motivo pelo qual você pode ter o seguinte erro ao usar a Segurança Integrada para uma cadeia de conexão do MSSSQL Server, apesar de definir a identidade do pool de aplicativos como uma conta de usuário capaz de efetuar login e ter a autenticação Pass Through ativada as configurações básicas do site:

Microsoft SQL Server Native Client 10.0 error '80040e4d'

Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.

Vá para Autenticação e edite o Usuário Anônimo - mude de usar a conta IUSR por padrão para usar a Identidade do Pool de Aplicativos.

    
por 05.04.2013 / 11:56