La traduction de cet article est le résultat du travail effectué par un logiciel de traduction, relu et corrigé par un humain. Elle vous est fournie, pour votre confort, telle quelle. Sun ne fournit aucune garantie et n'assume aucune responsabilité quant à la justesse et/ou la complétude du texte traduit ou de la page entière. Veuillez vous référer aux condition d'utilisation de ce site pour toute question regardant son utilisation et celle de ce logiciel.
Note : Voir également la partie : Directeur d'accès du système de Sun Java et serveur portique 2003 de SharePoint et partie : Directeur d'accès du système de Sun Java et accès Web de Microsoft Outlook pour le serveur 2003 d'échange.
Cet article, le premier d'une série de trois, traite de la façon dont il faut intégrer les pages de serveur actives et les applications d'ASP.NET dans un environnement d'identification unique (IU) avec le directeur d'accès du système de Sun Java (dorénavant accéder au directeur) et l'agent de politique du directeur d'accès du système de Sun Java (dorénavant l'agent de politique) pour Microsoft Internet Information Server (le serveur d'information Internet de Microsoft ). Spécifiquement, cet article traite les points suivants :
Discute l'inter-opérabilité entre les technologies du directeur d'accès et de Microsoft.
Examine l'effet sur le directeur d'accès, les applications d'agent de politique, le serveur d'information Internet de Microsoft , et de .NET et décrit comment intégrer le directeur d'accès dans un environnement de .NET et des applications de pre-.NET asp.
Explique comment configurer le serveur d'information Internet de Microsoft pour une intégration plus profonde de sorte que le fil du serveur d'information Internet de Microsoft puisse « personnifier » des utilisateurs pour accéder aux ressources selon les listes de contrôle d'accès de Windows (ACLs).
Cet article assume la connaissance de base du directeur d'accès et le serveur d'information Internet de Microsoft .
Note : L'agent 2.1 de politique est disponible pour le serveur d'information Internet de Microsoft 5.0 (Windows 2000) ; l'agent 2.1 et 2.2 de politique, pour le serveur d'information Internet de Microsoft 6.0 (Windows 2003). Les procédures de cet article sont basées sur l'agent 2.2-01 de politique pour le serveur d'information Internet de Microsoft 6.0.
Authentification dans le serveur d'information Internet de Microsoft
D'abord, regardons comment l'authentification et l'autorisation fonctionnent à côté du défaut dans le serveur d'information Internet de Microsoft . Cette section discute la fonction de l'authentification de base qui s'applique à la plus grande variété de navigateurs et de topologies et qui vous permet de permuter dehors pour l'authentification avec le directeur d'accès.
Accès anonyme
Comment le serveur d'information Internet de Microsoft manipule-t-il l'accès anonyme? Découvrir comment avec ces étapes simples :
Sauver le manuscrit suivant dans les Doc.s de la racine d'un site Web annuaire par défaut, c:\inetpub\wwwroot— comme welcome.asp et puis copier welcome.asp comme welcome.aspx dans le même annuaire.
Ce manuscrit fait état des variables du serveur qui concernent l'utilisateur authentifié. L'identification unique de l'utilisateur est essentielle à la personnalisation, un processus qui produit des sites Web personnalisés, dans lesquels les utilisateurs peuvent regarder et éditer leurs propres données seulement.
S'assurer que les pages de serveur actives classiques et les ASP.NET sont permis dans le serveur d'information Internet de Microsoft en ouvrant le directeur serveur d'information Internet de Microsoft et en cliquant sur les services de prolongement Web sous les services d'information Internet.
Vous pouvez regarder ou changer le statut des pages et des prolongements de Web d'ASP.NET dans le carreau droit.
En l'absence d'authentification, welcome.asp et welcome.aspx affichent la même réponse, avec un espace blanc dans la tâche du nom de l'utilisateur après le message de bienvenue :
Vu qu'il n'y a pas d'utilisateur authentifié, aucune des variables de demande en tant qu'énuméré n'est placée par le serveur d'information Internet de Microsoft . Microsoft soutient la page explique à ce sujet pourquoi.
le client de HTTP ne peut pas placer (« spoof ») ces variables, l'une ou l'autre. Par exemple, même si vous publiez une demande charriée avec le wget
wget --aucun-procuration --header='LOGON_USER : pat http://win2k3-iis/welcome.aspx
- le serveur envoie toujours la même réponse, un testament que le manuscrit des pages de serveur actives ne voit pas la valeur de LOGON_USER envoyée par le client.
Authentification de base
Nous laisser maintenant authentifier l'utilisateur avec un des mécanismes de fonction intégrée du serveur d'information Internet de Microsoft . Faire ce qui suit :
Dans le directeur du serveur d'information Internet de Microsoft , cliquer avec le bouton de droite de la souris sur le nom d'emplacement et choisir les propriétés du menu de contexte.
Le carreau de propriétés de site Web de défaut s'affiche.
Cliquer l'étiquette de sécurité d'annuaire et puis le bouton d'édition sous l'authentification et le contrôle d'accès.
Le carreau de méthodes d'authentification s'affiche.
Ne pas sélectionner permettre l'accès anonyme et choisir authentification de base. Après, spécifier les valeurs de domaine et de royaume de défaut, comme approprié, pour votre système.
Comme essai, ouvrir une session comme bilbo utilisateur de Windows.
Le manuscrit classique des pages de serveur actives répond, montrant trois variables réglées au nom d'utilisateur.
http://win2k3-iis/welcome.asp
Welcome, !
REMOTE_USER bilbo
LOGON_USER bilbo
AUTH_USER bilbo
HTTP_COMMON_NAME
En revanche, ASP.NET renvoie différentes valeurs pour les variables, montrant l'ensemble de LOGON_USER au nom d'utilisateur que vous avez spécifié, et le REMOTE_USER et l'AUTH_USER à votre ouverture de domaine.
http://win2k3-iis/welcome.aspx
Welcome, !
REMOTE_USER MYDOMAIN\bilbo
LOGON_USER bilbo
AUTH_USER MYDOMAIN\bilbo
HTTP_COMMON_NAME
Dans les deux cas, la variable de HTTP_COMMON_NAME n'est pas placée. Vous découvrirez plus tard dans cet article comment les poignées d'agent de politique s'arrangement.
Autorisation par IIS
Cette section décrit comment le serveur d'information Internet de Microsoft autorise des utilisateurs à accéder à des ressources au moyen des deux mécanismes d'autorisation dans ASP.NET : Autorisation de dossier et autorisation d'URL.
Autorisation de dossier
Pour fixer des dossiers contre l'accès non autorisé, vous pouvez employer le mécanisme intégré de l'ACL de Windows. Dans l'exemple ci-dessous, vous placez ACLs sur un dossier de sorte que seulement un utilisateur puisse le lire. Après que l'utilisateur ouvre une session, le serveur d'information Internet de Microsoft court un manuscrit pour rechercher le contenu du dossier.
Faire ce qui suit :
Créer deux manuscrits pour adapter la différence dans le modèle de programmation entre l'asp classique et l'ASP.NET. D'abord, la version classique des pages de serveur actives (bilbo.asp) :
% @Language="VBScript" %>
<html>
<head>
<title>bilbo's secret file</title>
</head>
<body>
<h3>bilbo's secret file</h3>
<p>
<%
Err.Clear
On Error Resume Next
Dim fso
Set fso = CreateObject("Scripting.FileSystemObject")
Dim fileName
fileName = Server.MapPath("bilbo.txt")
Dim file
Set file = fso.OpenTextFile(fileName)
If Err.Number = 0 Then
Response.Write(file.ReadAll)
Else
Response.Write("Sorry, " + Request.ServerVariables("LOGON_USER") + ", I
can't show you the file.")
End If
On Error GoTo 0
%>
</p>
</body>
</html>
En second lieu, la version d'ASP.NET (bilbo.aspx) :
<%@ Import Namespace="System.IO" %>
<%@ Language="VBScript" %>
<html>
<head>
<title>bilbo's secret file</title>
</head>
<body>
<h3>bilbo's secret file</h3>
<p>
<%
Try
Dim fileName as String = Server.MapPath("bilbo.txt")
Dim reader as StreamReader
reader = File.OpenText(fileName)
Response.Write( reader.ReadToEnd() )
reader.Close()
Catch uae as UnauthorizedAccessException
' Environment.UserName tells us the identity associated with the
' IIS process as far as the rest of Windows is concerned
Response.Write ("Sorry, " +
System.Security.Principal.WindowsIdentity.GetCurrent().Name + ", I can't show you the file.")
End Try
%>
</p>
</body>
</html>
Créer un dossier d'essai (bilbo.txt), comme suit, pour être lu par les deux manuscrits précédents.
Une identité pour les ordonner tous et, dans l'obscurité, pour les lier.
Placer chacun des trois dossiers dans un endroit commode dans l'arbre de document d'serveur d'information Internet de Microsoft , par exemple, la racine de document (c:\inetpub\wwwroot par défaut).
Rendre le dossier de bilbo.txt lisible seulement par bilbo.
Ouvrir une session comme bilbo ou utilisateur avec des privilèges d'administrateur.
b. Right-click bilbo.txt et choisir les propriétés du menu de contexte.
Le carreau des propriétés de bilbo.txt s'affiche.
Cliquer l'étiquette de sécurité et puis cliquer avancé.
Le carreau d'arrangements de sécurité avancée pour bilbo.txt est montré.
Ne pas sélectionner permettent des permissions dont on peut hériter.
Un message de sollicitation de confirmation s'affiche.
Cliquer sur enlèver.
Cliquer OK dans le carreau d'arrangements de sécurité avancée.
Ajouter le bilbo dans les arrangements de sécurité : cliquer sur ajouter, dactylographier le bilbo comme nom d'objet, et cliquer sur OK.
Le carreau de propriétés de bilbo.txt est de nouveau affiché.
Sous des permissions pour Bilbo Baggins, choisir lire et ne pas sélectionner toutes les autres permissions. Cliquer sur OK.
En conclusion, placer le serveur d'information Internet de Microsoft de nouveau à l'accès anonyme. Faire ce qui suit :
Dans le directeur du serveur d'information Internet de Microsoft , cliquer avec le bouton de droite de la souris sur le nom d'emplacement et choisir les propriétés du menu de contexte.
Le carreau de propriétés de site Web par défaut s'affiche.
Cliquer l'étiquette de sécurité d'annuaire et puis le bouton d'édition sous l'authentification et le contrôle d'accès.
Le carreau de méthodes d'authentification s'affiche.
Choisir permettre l'accès anonyme et ne pas sélectionner l'authentification de base.
Etant donné les permissions placer maintenant pour bilbo.txt, le bilbo.asp et rapport de manuscrits de bilbo.aspx que le dossier est inaccessible. Voici le rendement :
http://win2k3-iis/bilbo.asp
bilbo's secret file
Sorry, I can't show you the file.
http://win2k3-iis/bilbo.aspx
bilbo's secret file
Sorry, WIN2K3-IIS\IUSR_WIN2K3-IIS, I can't show you the file.
Le rendement d'ASP.NET prouve que s'exécute dans le cadre d'un système identity-WIN2K3-IIS \ IUSR_WIN2K3-IIS. C'est un compte relativement non privilégié spécifiquement à l'usage du au nom des utilisateurs non autorisés.
Authentification de base
Après, configurer serveur d'information Internet de Microsoft pour l'authentification de base :
Dans le directeur du , cliquer avec le bouton de droite de la souris sur le nom d'emplacement et choisir les propriétés du menu de contexte.
Cliquer l'étiquette de sécurité d'annuaire et puis le bouton d'édition sous l'authentification et le contrôle d'accès.
Le carreau de méthodes d'authentification s'affiche.
Ne pas sélectionner permettre l'accès anonyme et choisir l'authentification de base.
Comme essai, accéder à chacune de deux pages privées des bilbo chez http://win2k3-iis/bilbo.asp et http://http://win2k3-iis/bilbo.aspx. Les résultats corrects sont comme suit :
Les pages de serveur actives classiques vous permet de lire le dossier secret des bilbo, comme montré par ce rendement :
http://win2k3-iis/bilbo.asp
bilbo's secret file
One identity to rule them all and, in the darkness, bind them.
ASP.NET ne fait pas, comme montré par ce rendement :
http://win2k3-iis/bilbo.aspx
bilbo's secret file
Sorry, NT AUTHORITY\NETWORK SERVICE, I can't show you the file.
Pourquoi? Dans le modèle classique des pages de serveur actives , le serveur d'information Internet de Microsoft personnifie, par défaut, l'utilisateur authentifié, par conséquent le serveur d'information Internet de Microsoft et bilbo.asp peuvent accéder à bilbo.txt. Pas aussi avec ASP.NET : Même après l'authentification d'utilisateur, courses du dans le cadre d'un compte relativement non privilégié de système (NT AUTHORITY\NETWORK SERVICE dans le cas d'serveur d'information Internet de Microsoft 6.0), par conséquent démenti l'accès.
Comme résolution, configurer ASP.NET pour personnifier des utilisateurs par le dossier de web.config. Créer ce dossier, comme suit, dans un annuaire de votre choix, par exemple, la chemise de documents de racine du serveur d'information Internet de Microsoft (wwwroot).
Pour configurer l'autorisation, placer un élément de <authorization> dans le dossier de la racine web.config pour un emplacement, comme dans l'exemple suivant, qui permet l'accès seulement aux ressources dans cet annuaire.
<authorization> peut contenir tout nombre de allow et deny éléments, qui spécifie un ensemble de principes et d'actions de HTTP. Pour des détails, voir l'autorisation de la section ASP.NET dans la documentation.
Alternativement, créer un dossier de web.config pour définir les arrangements pour un annuaire particulier. Dans cet exemple, prendre la mesure précédente de sorte que tous les dossiers relatifs résident dans un endroit.
Sous le wwwroot, créer un annuaire de bilbo avec le dossier de default.aspx, comme suit.
<html>
<head>
Only bilbo can see this!
</head>
<body>
<p>
Reminder: Throw ring in Mount Doom!
</p>
</body>
</html>
Note : Par défaut, le serveur d'information Internet de Microsoft applique l'autorisation seulement aux types de dossier qui sont contrôlés par ASP.NET, tel que .aspx. Si vous appelez le dossier précédent default.htm, par exemple, le serveur d'information Internet de Microsoft n'exécute pas l'autorisation.
Éditer le wwwroot \ web.config et ajouter les lignes grasses dans le segment de code suivant pour s'assurer que seulement le bilbo peut lire le nouveau manuscrit.
Maintenant, accès http://win2k3-iis/bilbo comme bilbo. Le rendement dépeint l'autorisation réussie.
Reminder: Throw ring in Mount Doom!
Si vous n'êtes pas authentifié comme bilbo, alors, selon le navigateur, le serveur d'information Internet de Microsoft incite à plusieurs reprises pour la ré-entrée des qualifications. Après trois essais ratés, le serveur d'information Internet de Microsoft affiche ce message :
Server Error in '/' Application.
Access is denied.
Description: An error occurred while accessing the resources
required to serve this request. The server may not be configured
for access to the requested URL.
Error message 401.2.: Unauthorized: Logon failed due to server
configuration. Verify that you have permission to view this
directory or page based on the credentials you supplied and the
authentication methods enabled on the Web server. Contact the Web
server's administrator for additional assistance.
Le reste de cet article décrit comment configurer des politiques équivalentes dans le directeur d'accès. En outre, vous apprendrez comment intégrer l'autorisation d'URL d'ASP.NET avec le directeur d'accès quand la migration pour accéder à des politiques de directeur est impraticable.
Déploiement de l'agent 2.2 de politique pour le serveur d'information Internet de Microsoft 6.0
Dans sa configuration plus simple, l'agent de politique protège ses ressources dans ce contexte, un ensemble d'URL dessus le serveur d'information Internet de Microsoft -de l'accès non autorisé. Quand un utilisateur essaye d'accéder à une ressource protégée, l'agent de politique affiche une page d'ouverture et, assumant une authentification prochaine de cet utilisateur, consulte les politiques du directeur d'accès pour déterminer si accorder l'accès à la ressource demandée.
Comme application de l'interface de programmation du serveur Internet(ISAPI), l'agent de politique est déployé comme une carte d'invitation à un site Web. Une fois déployé, l'agent de politique arrête les demandes des ressources d'accès sur cet emplacement et effectue des tâches d'évaluation d'authentification et de politique. Si toutes les conditions de politique sont remplies, l'agent de politique accorde l'accès aux ressources.
Vous configurez l'agent de politique pour un site par groupe d'applications. Par conséquent, pour configurer les emplacements multiples sur une machine, vous les organisez en plusieurs groupes d'application.
En outre, l'agent de politique impose des politiques d'URL et peut copier les attributs du profil des utilisateurs, tels que le nom d'utilisateur, nom commun, et ainsi de suite, dans des variables d'en-tête de HTTP, de ce fait permettant à des applications du de localiser l'identité des utilisateurs authentifiés.
Avantages
Le directeur d'accès et l'agent de politique offrent de nombreux avantages en plus de l'authentification et de l'autorisation de gestion au niveau du serveur Web, comme suit :
L'authentification est centralisée dans le directeur d'accès. Vous pouvez configurer le directeur d'accès pour utiliser n'importe quelle partie d'un éventail de mécanismes d'authentification, de nom d'utilisateur et de mot de passe aux certificats, travailler également avec des cartes à puce et des marques de matériel. Vous pouvez même prolonger le directeur d'accès avec les mécanismes sur mesure.
L'autorisation est centralisée en jeu de politiques qui s'appliquent à l'entreprise entière. Les politiques sont beaucoup plus sophistiquées que les communes comme « permettent l'accès au bilbo » et « nier l'accès aux utilisateurs avec le rôle de ventes. » Par exemple, vous pouvez inclure ces conditions :
Un mécanisme spécifique pour l'authentification, telle que « cette page exige l'authentification de carte à puce. »
Périodes et dates, comme : « Permettre l'accès aux utilisateurs réguliers à partir de 9h du matin - le 17h, du lundi au vendredi. » « Permettre l'accès aux administrateurs, 24/7. »
Les chaînes d'adresses IP qui sont des critères pour l'accès, comme « nier l'accès aux utilisateurs ouvrant une session par le réseau privé virtuel (RPV). »
Les agents de politique sont disponibles pour un éventail de récipients et d'applications Web. Ces récipients et applications s'étendent du serveur Web de système de Sun Java et du serveur d'application de système de Sun Java au domino de portail et de lotus d'entreprise de SAP (voir l'emplacement de téléchargement d'agent de politique). Vous pouvez même employer le C et le Java SDKs du directeur d'accès pour exclure l'authentification et l'autorisation des applications.
L'identification unique (IU) est disponible à travers toutes les ressources protégées. C'est en vertu des possibilités de la fédération du directeur d'accès qui prolongent l'IU à travers des entreprises par le SAML 2.0 et des normes de liberté.
Installation et configuration de l'agent de politique pour le serveur d'information Internet
Ouvrir une session à la console de directeur d'accès et créer une politique qui permet à tous les utilisateurs authentifiés d'accéder à tous les URL sur votre serveur du serveur d'information Internet de Microsoft , c.-à-d., http://win2k3-iis/*.
Éditer le fichier de AMAgent.properties configuration : Placer com.sun.am.policy.agents.config.profile.attribute.fetch.mode à HTTP_HEADER de sorte que l'agent de politique insère les attributs d'utilisateur dans la demande de HTTP comme en-têtes de HTTP.
La propriété com.sun.am.policy.agents.config.profile.attribute.map indique à l'agent de politique quels attributs à insérer et comment tracer leurs noms.
Remettre en marche le groupe d'applications et le site Web.
Dans le directeur d'accès, créer un utilisateur dont l'identification (uid) correspond au nom d'utilisateur de Windows de l'utilisateur.
Cet exercice se fonde sur la correspondance simple entre les identifications sur les deux systèmes. La propriété de com.sun.am.policy.am.userid.param indique à l'agent de politique quelle propriété de session du directeur d'accès à attribuer au nom d'utilisateur de Windows.
Aucune authentification du serveur d'information Internet.
Pour configurer l'accès anonyme par serveur d'information Internet, placer ce dernier de nouveau à l'accès anonyme. Suivre ces étapes :
Dans le directeur de serveur d'information Internet, cliquer avec le bouton de droite de la souris sur le nom d'emplacement et choisir les propriétés du menu de contexte.
Le carreau de propriétés du site Web par défaut s'affiche.
Cliquer l'étiquette de sécurité d'annuaire et puis le bouton d'édition sous l'authentification et le contrôle d'accès.
Le carreau de méthodes d'authentification s'affiche.
Choisir permettre l'accès anonyme et ne pas sélectionner l'authentification de base.
Comportement classique des pages de serveur actives
Même avec l'arrangement ci-dessus, l'agent de politique arrête n'importe quelle tentative d'accéder aux manuscrits bienvenus et réoriente toujours le navigateur de l'utilisateur pour accéder à la page d'ouverture du directeur. Après avoir ouvert une session comme bilbo d'utilisateur de directeur d'accès, vous voyez ceci welcome.asp :
http://win2k3-iis/welcome.asp
Welcome, Bilbo Baggins!
REMOTE_USER bilbo
LOGON_USER bilbo
AUTH_USER bilbo
HTTP_COMMON_NAME Bilbo Baggins
Les valeurs des trois premières variables sont identiques à celles qui sont produites par le manuscrit dans l'authentification de base. Pour HTTP_COMMON_NAME, le directeur d'accès produit le rendement à partir d'une récupération de l'attribut de cn profil du protocole LDAP de l'utilisateur en raison de ce protocole :
La propriété de com.sun.am.policy.agents.config.profile.attribute.map dans le dossier d'AMAgent.properties définit la correspondance du commun-nom de NC, qui accèdent aux correspondances du directeur encore à HTTP_COMMON_NAME.
Vous pouvez diriger le directeur d'accès et l'agent de politique pour rechercher d'autres attributs du profil du protocole LDAP de l'utilisateur de la même manière.
Comportement des pages de serveur actives.NET
En revanche, welcome.aspx fonctionnant sur ASP.NET produit ce qui suit :
http://win2k3-iis/welcome.aspx
Welcome, Bilbo Baggins!
REMOTE_USER WIN2K3-IIS\IUSR_WIN2K3-IIS
LOGON_USER bilbo
AUTH_USER WIN2K3-IIS\IUSR_WIN2K3-IIS
HTTP_COMMON_NAME Bilbo Baggins
Ici, le serveur d'information Internet place les variables de REMOTE_USER et d'AUTH_USER à WIN2K3-IIS \ à IUSR_WIN2K3-IIS, l'utilisateur du système anonyme par défaut pour le serveur d'information Internet. Quoique l'agent de politique ait authentifié l'utilisateur comme bilbo et l'ensemble LOGON_USER au niveau système, le serveur d'information Internet considère toujours la demande d'être anonyme.
Accéder aux démentis
Maintenant, quand vous accédez au dossier secret des bilbo avec classique, vous recevez un démenti :
http://win2k3-iis/bilbo.asp
bilbo's secret file
Sorry, I can't show you the file.
Même avec ASP.NET :
http://win2k3-iis/bilbo.aspx
bilbo's secret file
Sorry, WIN2K3-IIS\IUSR_WIN2K3-IIS, I can't show you the file.
Dans les deux cas, le serveur d'information Internet ne peut pas accéder au dossier. Quoique l'agent de politique ait authentifié l'utilisateur, le mécanisme d'autorisation du dossier du serveur d'information Internet considère la demande comme étant toujours anonyme. Voir la prochaine section pour une résolution.
Configuration de l'agent de politique pour l'authentification de base de HTTP
Avec l'agent 2.2 de politique pour IIS 6.0, vous pouvez configurer un filtre d'interface de programmation su serveur Internet pour l'authentification de base. Installer simplement le filtre de l'interface de programmation su serveur Internet sur le service d'information Internet et configurer la connexion de post-authentication du directeur d'accès, comme décrit dans l'annexe du directeur d'accès et agent de politique de Sun Java System 2.2 pour le serveur d'information d'Internet de Microsoft 6.0. En conclusion, modifier le serveur d'information Internet de nouveau à l'authentification de base.
Après, accéder au script de bienvenue, vous devez seulement vous authentifier pour accéder au directeur en bilbo suivant les indications du rendement suivant, sans le rendement pour l'authentification de base.
http://win2k3-iis/welcome.asp
Welcome, Bilbo Baggins!
REMOTE_USER bilbo
LOGON_USER bilbo
AUTH_USER bilbo
HTTP_COMMON_NAME Bilbo Baggins
http://win2k3-iis/welcome.aspx
Welcome, Bilbo Baggins!
REMOTE_USER MYDOMAIN\bilbo
LOGON_USER bilbo
AUTH_USER MYDOMAIN\bilbo
HTTP_COMMON_NAME Bilbo Baggins
Noter qu'AUTH_USER et REMOTE_USER sont placés à MYDOMAIN \ à bilbo, pas l'utilisateur local du serveur d'information Internet WIN2K3-IIS \ IUSR_WIN2K3-IIS.
Essais
Le rendement pour le dossier secret des bilbo, comme accédé par bilbo.asp et bilbo.aspx, est identique.
http://win2k3-iis/bilbo.asp
bilbo's secret file
One identity to rule them all and, in the darkness, bind them.
http://win2k3-iis/bilbo.aspx
bilbo's secret file
One identity to rule them all and, in the darkness, bind them.
En d'autres termes, succès dans l'accès de dossier comme bilbo !
L'ouverture en tant qu'autre utilisateur frodo par exemple, et vous verrez ces deux exemples du message d'accueil, car vous prévoiriez :
Que diriez-vous de l'accès au dossier? Aucune chance, naturellement :
http://win2k3-iis/bilbo.asp
bilbo's secret file
Sorry, frodo, I can't show you the file.
http://win2k3-iis/bilbo.aspx
bilbo's secret file
Sorry, MYDOMAIN\frodo, I can't show you the file.
Ainsi, avec le serveur d'information Internet configuré pour l'authentification de base et la personnification, l'agent de politique intègre le serveur d'information Internet dans une infrastructure de directeur d'accès jusqu'à accéder aux dossiers sur le disque.
Autorisation d'URL
Pour voir le comportement dans l'autorisation d'URL à la suite de la configuration précédente, accéder d'abord au manuscrit dans l'annuaire des bilbo comme bilbo. Voici le rendement qui certifie le succès :
http://win2k3-iis/bilbo
Reminder: throw ring in Mount Doom!
Après, ouverture comme frodo. Vous verrez la même réponse comme décrit avant, c.-à-d., un message de sollicitation pour réintroduire vos qualifications. Après trois essais ratés, le serveur d'information Internet affiche ce message d'erreur :
Server Error in '/' Application.
Access is denied.
Description: An error occurred while accessing the resources
required to serve this request. The server may not be configured
for access to the requested URL.
Error message 401.2.: Unauthorized: Logon failed due to server
configuration. Verify that you have permission to view this
directory or page based on the credentials you supplied and the
authentication methods enabled on the Web server. Contact the Web
server's administrator for additional assistance.
Conclusion
Pour les applications Web de .NET qui se fondent sur un mécanisme d'authentification du serveur d'information Internet, vous pouvez modifier le serveur d'information Internet pour faire administrer à l'agent de politique l'identification unique et le contrôle d'accès à ces applications. Pour les applications qui effectuent leur propre authentification, par exemple, contre les dossiers plats ou les bases de données, supprimer simplement le code d'authentification et adopter la variable de serveur de LOGON_USER à la place.
Prévision des prochains articles
Les futurs articles vous montreront comment intégrer le directeur d'accès avec le serveur portique 2003 de SharePoint et l'accès Web de perspectives dans l'échange 2003 de Microsoft.
Remerciements
Nous reconnaissons avec reconnaissance la contribution de Stefan Schakow de l'équipe de l'ASP.NET de Microsoft, qui a passé en revue cet article en détail et a suggéré un certain nombre de perfectionnements avant sa publication. Toutes les erreurs sont, naturellement, la responsabilité des auteurs.
Print-friendly Version
