私は、フォーム認証とActive Directoryのメンバーシップを持つASP.NET MVC 3アプリケーションをビルドフォーム認証で認証されたクライアントを偽装し、SQL Serverへの信頼できる接続を確立することはできますか?ここで
をやろうとしていたものです。 Webサーバーとデータベースは異なる物理サーバーなので、ダブルホップです。
答えは、この古い記事constrained delegation and protocol transitionでしたと思いましたか?これまでのところ、私は技術を働かせることができませんでした。
プロダクションセットアップでWindows 2008(IIS7)にデプロイする前に、WebサーバーのDEVマシン(Windows 7、IIS7)からテストしています。窓2008は違いをもたらすだろうか?
何動作し、私は、フォーム認証とADのメンバーシップでログインすることができるよ
を失敗しました。これは正常に動作しているようです。このコードを使用してデータベース・コールを作成しようとすると、次のような例外が発生します。内部例外はRequested registry access is not allowed
です。
私がブレークポイントを設定し、Impersonate()
コール後にWindowsIdentity
を調べると、ImpersonationLevel
がIdentification
に設定されていることがわかります。これは正しく設定されていないという手がかりのようです。誰でも確認できますか?
私は正しい軌道に乗っていますが、セットアップすることも可能ですか?すべてのポインターをいただければ幸いです。
ありがとうございました。それの多くは私には新しいものでした。私はまだすべてをリセットしてこの新しい知識から始める時間はなかったが、私は今それを働かせることができると確信している。 –
これはちょっと魅力的です...賞金が払われるまで13分で私は恩恵を「賞賛する」とは違うことを理解していない答えとしてあなたのものを選んだのです。あなたは持っているべきものの半分を持っています。私はシステムを理解していない、または私はUIの手がかりを逃した可能性が残念です - いずれかの私の悪い。 –
@Aaron心配はいりません。私の答えを受け入れてくれてありがとう。あなたがプロトコル変換を動作させた後、実際にあなたが遭遇するかもしれないいくつかのより一般的なケルベロス問題があります。例えば。同じADフォレストに重複したSPNがある場合、Kerberos認証は静かに動作しなくなります。この種の質問に完全な答えを書くことは非常に難しいです。可能であれば、MSDNは類似の問題に対して複数の記事とKBを持つ必要はありません。他のADの問題を実行している場合は、 'active-directory'で質問にタグを付けてください。あなたはより有用なヒントを得るかもしれません –