Come posso assegnare l'autorizzazione di Active Directory all'identità del pool di app predefinito


9

Come posso assegnare l'autorizzazione della directory attiva all'identità del pool di app predefinito [IIS APPPOOL {nome pool di applicazioni}]?

Sto provando a fare questo per abilitare una query di un'applicazione web a gruppi di directory attive, utenti e verificare l'esistenza di un nome utente o nome gruppo particolare.

Grazie.

Risposte:


8

Non È possibile conferire autorizzazioni alle risorse locali per l'identità IIS APPPOOL {nome pool di app} per le risorse locali per:

Come assegnare le autorizzazioni all'account ApplicationPoolIdentity

In Active Directory, l'identità deve essere un'entità di sicurezza nota, un'entità di sicurezza utente / gruppo / computer effettiva o un'entità di sicurezza esterna / attendibile.

Tuttavia, se si utilizza l'identità del servizio di rete su App Iool IIS, il pool di applicazioni utilizzerà l'account del computer del server IIS quando si accede alle risorse di rete. In tal caso, è possibile conferire le autorizzazioni necessarie all'account del computer (dominio \ nomecomputer $) in Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities


2
Quando utilizzo l'identità del servizio di rete su ISS AppPool funziona come previsto. Tuttavia, la documentazione in "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" dice "La buona notizia è che le identità del pool di applicazioni utilizzano anche l'account del computer per accedere alle risorse di rete. Non sono necessarie modifiche. ", Ma ovviamente non si comporta come nel caso in cui l'applicazione tenti di eseguire query AD.
user2384219

Nessuno è perfetto. Almeno NetworkService funziona. L'uso dell'identità di un apppool è probabilmente qualcosa che è rotto o scarsamente documentato.
Greg Askew,

@GregAskew - Le identità del pool di app vengono eseguite come superset degli account del servizio di rete, quindi quando accedono alle risorse di rete funzionano come nomi di macchine, ma possono anche avere una sicurezza più stretta a livello locale.
Erik Funkenbusch,

1

Quello che ho fatto sul computer AD è stato delegare il controllo al computer che esegue IIS che ospita l'applicazione. Ho delegato solo il tipo di autorizzazioni "modifica appartenenza al gruppo" (o qualcosa del genere) e ho fatto funzionare la mia soluzione.

Ho avuto una svolta nella mia app che ha ottenuto IPrincipal da ADFS, quindi non ho usato l'autenticazione di Windows, ma a parte questo tutto ha funzionato bene.

Peccato che IISExpress non funzioni come funziona IIS in quanto non è la prima volta che ho problemi durante la produzione.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.