我对 IIS7.5 中的身份模拟有点困惑
在过去,您只需放入 web.config 并调用它即可。然后可以将目录锁定到特定用户,然后 IIS 将能够访问该用户有权访问的资源,例如 Sql Server 存储过程。
有了新的集成管道,这种方法就不再管用了。我可以切换到“经典”管道,但这种方法只能管用一段时间,所以我想用我更喜欢的“现代”方式来做事。
我当然希望保持两层安全性。网站的匿名部分将有权访问显示匿名数据所需的存储过程,而管理部分将拥有额外的访问权限。如果没有身份模拟,如何做到这一点?
答案1
好问题!直到我读到您的帖子,我才知道 IIS 7.5 中的情况有所不同。(我本来会给您点赞,但我的积分不够)。
我找到了一篇来自核心 IIS 团队的优秀帖子。也许这会对你有所帮助。
答案2
模拟仍然有效,但要到达 SQL Server(第二跳),您必须使用“委派”。使委派工作最重要的部分是您必须使用 Kerberos。安装和启用它是一回事,确保它实际被使用又是另一回事。谷歌搜索“两跳”和“委派”会为您提供大量“如何操作”信息,其中一些比其他信息更好。 这张有漂亮的照片
我建议先在 IE 中测试。
在 IE 中运行后,转到 Chrome,IIS 需要连接的服务器必须列入白名单。要设置的最重要的键是“AuthNegotiateDelegateWhitelist”