Що таке "наскрізна автентифікація" у IIS 7? [зачинено]

78

У IIS 7, після того, як я вказав фізичний шлях для свого веб-сайту та натиснув кнопку «Параметри тесту», я отримую таке попередження:

Сервер налаштований на використання прохідної автентифікації із вбудованим обліковим записом для доступу до вказаного фізичного шляху. Однак менеджер IIS не може перевірити, чи має вбудований обліковий запис доступ. Переконайтеся, що ідентифікатор пулу програм має доступ для читання до фізичного шляху. Якщо цей сервер приєднаний до домену, а ідентифікатор пулу додатків - NetworkService або LocalSystem, перевірте, чи <domain>\<computer_name>$має доступ для читання до фізичного шляху. Потім ще раз протестуйте ці налаштування.

Отже, що таке наскрізна автентифікація? Буквально це повинно проходити деякий А через якийсь В? Отже, що таке А і В?

Крім того, я фактично використовую вбудований ApplicationPoolIdentity . Чому IIS не може підтвердити, що цей обліковий запис має належні права доступу до фізичного шляху? Навіщо мені це перевіряти самостійно?

iis 
smwikipedia
джерело
1
Це було перше запитання, яке з’явилось у моїх пошукових подорожах, але я отримав краще розуміння прохідної автентифікації від stackoverflow.com/questions/15677156/…
Джонатан
1
Принаймні не видаляйте помилку. Це має значення, окрім того, як "пояснити, що таке змінна"
Дрю,

Відповіді:

65

Зазвичай IIS використовує ідентифікатор процесу (обліковий запис користувача, в якому він виконує робочий процес) для доступу до захищених ресурсів, таких як файлова система або мережа.

За допомогою прохідної автентифікації IIS намагатиметься використовувати фактичну особу користувача під час доступу до захищених ресурсів.

Якщо користувач не аутентифікований, IIS замість цього використовуватиме ідентифікатор пулу програм. Якщо для ідентифікації пулу встановлено NetworkService або LocalSystem, фактично використовується обліковий запис Windows - це обліковий запис комп’ютера.

Попередження IIS, яке ви бачите, не є помилкою, це лише попередження. Фактична перевірка буде виконана під час виконання, і якщо вона не вдасться, вона відобразиться в журналі.

Франці Пєнов
джерело
1
Я припускаю, що згаданий вище користувач - це той користувач, який увійшов на веб-сайт. Це правильно? Чи є наскрізна автентифікація формою видавання себе за іншу особу?
Ytrog
4
@Ytrog так, прохідна автентифікація може розглядатися як форма втілення. Робочий процес IIS видає себе за користувача.
Франсі Пєнов
"фактична особа користувача" Який користувач?
Полковник Панік
Користувач Windows, запит пройшов аутентифікацію як. Якщо автентифікація Windows увімкнена в IIS, він спробує автентифікувати підключення браузера як обліковий запис користувача локальної машини або обліковий запис домену, якщо машина IIS підключена до одного. Я не пам’ятаю всіх параметрів, які він буде використовувати, але я думаю, що він спробує сертифікат та принаймні ім’я користувача / пароль. Якщо автентифікація запиту як користувача Windows була успішною, робочий процес буде запущений під ідентифікацією цього користувача Windows, так що будь-які файли та доступ до мережі будуть належним чином ПІДСТАВЛЕНО проти цих облікових даних користувача Windows.
Франсі Пєнов
Я не можу перевірити, що If the user is not authenticated, IIS will use the application pool identity insteadколи мова заходить про віртуальні каталоги, що використовують passthrough, я не думаю, що це правильно.
Келлі Елтон,
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.