como configurar a delegação no IIS 7.5 e PHP (instalador da plataforma web)

1

Estamos executando com sucesso ou intranet corporativa usando PHP no IIS 7.5 no Win Server 2008 R2. Usamos o Web Platform Installer para configurar o PHP. A representação funcionou desde o início, mas a delegação não foi configurada.

No meu entender, a "representação", às vezes chamada de single hop, pega o token de acesso da estação de trabalho do cliente e o utiliza para executar o script no servidor da Web, ou seja, o primeiro salto. O problema surge quando o aplicativo quer ler / gravar arquivos em um compartilhamento de arquivos de rede. É minha compreensão posterior "delegação", às vezes chamada "salto duplo" leva o mesmo token de acesso e passa isto ao servidor de web (o segundo salto) para uso acessando os arquivos remotos. Delegação não está funcionando. Eu li em muitos lugares que a delegação é o que eu preciso, mas não consigo encontrar instruções sobre como habilitá-lo no IIS 7.5.

    
por Ted Cohen 24.12.2012 / 08:07

1 resposta

1

A delegação funciona de maneiras diferentes, dependendo se você executar contas ou certificados de grupo de trabalho / domínio e local / domínio. Eu suponho que você execute um domínio e deseja usar a delegação do kerberos.

Se você tiver que habilitar a conta que seu aplicativo está executando para ser "confiável para delegação" no Active Directory (abra ADUC (ou ADAC se você executar o servidor 2012), navegue até a conta - > propriedades - & gt ; separador de delegação e permitir delegação completa ou contratada).

Somente contas de domínio com um SPN registrado podem ser confiáveis para delegação. As contas de computador internas obtêm o SPN: s registrado por padrão, mas se você usar uma conta de usuário comum, precisará registrar um SPN para o seu aplicativo e conta da Web antes de poder confiar nele para delegação (a guia Delegação não será mostrada em contas que não possuem SPN registrado: s).

Como definir o SPN: s link

Altere a conta do aplicativo da conta virtual padrão O IIS cria "IIS AppPool \ applicationName" para NetworkService (se você decidiu usar a conta do computador) ou a conta de usuário recém-criada (se você seguir esse caminho).

Verifique se o seu aplicativo está configurado para usar a Autenticação do Windows. Autenticação do Windows usa NTLM ou Kerberos, somente o Kerberos suporta delegação, portanto, você precisa ter um SPN, caso contrário, o NTLM será usado para autenticação e não funcionará.

    
por 24.12.2012 / 14:42

Tags