我有一个内部系统,它使用用户的 Windows 凭据自动验证用户,然后使用 LDAP 验证 Active Directory
在 IIS 中,我允许使用 401 Challenge 进行“Windows 身份验证”。因此,一开始,用户每次启动网站时都会提示输入他们的 Active Directory 用户名和密码:
然后我将“经过身份验证的用户”添加到该网站文件夹的权限列表中,C:/inetpub/ldap_website现在它会自动识别它们,然后应用程序本身会验证他们的凭据是否匹配并允许在网站的特定区域使用。
但有没有办法让它更加安全呢?
因为我现在不确定——如果应用程序池是 MSA 帐户,那么当 Windows 用户通过身份验证进入网站时——谁真正运行该网站?它在哪个用户下运行?MSA 帐户,还是现在经过身份验证的 Windows 用户有自己的进程?所以我有点困惑,想知道在使用这种身份验证方法时我是否应该做些什么