Permitindo que serviços de outro computador acessem o IIS

1

Estamos usando algum software de terceiros que é executado como um serviço em um computador, acessando um recurso do IIS no segundo computador. O segundo computador não está no mesmo domínio que o primeiro, e há um firewall diretamente entre eles.

Ambos os servidores são o Windows 2003, executando o IIS6.

O serviço não consegue fazer o que deseja porque não está autorizado a acessar o recurso do IIS (erro HTTP 401). O recurso não pode ser executado anonimamente (e reclama se eu definir o IIS para funcionar assim) e usa a autenticação do Windows. O software assume que ambas as máquinas estão no mesmo domínio.

Sem adicionar o segundo computador ao mesmo domínio que o primeiro (que deve ser possível, mas envolve mexer no roteamento), posso fazer com que o serviço possa acessar o recurso?

Eu tentei encontrar maneiras de adicionar o primeiro computador como um usuário autorizado no segundo, mas não consigo.

    
por paulmorriss 21.12.2011 / 12:50

1 resposta

2

Desde o início dos tempos, os sistemas operacionais Windows suportam um hack bruto para habilitar logins entre domínios: permitir autenticação integrada do Windows no recurso da Web de uma conta de usuário nomeada no domínio em que o servidor da Web é executado e criar um usuário com o same accountname e senha no servidor que hospeda o serviço.

Sim, isso sempre funcionará independentemente da participação no domínio.

EDIT: para adicionar uma implicação de segurança óbvia, no caso de não é óbvio: você pode usar este truque para acessar uma conta de domínio privilegiada de um computador onde a conta (duplicada) é não privilegiado.

    
por 21.12.2011 / 12:59