在IIS7.5中,我有点被Identity Impersonation所迷惑
在过去的美好时光中,你可以放在web.config中,并称之为好的。 然后可以将目录locking到特定用户,然后IIS将能够访问该用户有权访问的资源,例如Sql Server存储过程。
随着新的集成pipleline,这不再起作用。 我可以切换到“经典”pipe道,但这只会工作很长时间,所以我想做的东西是首选的“现代”的方式。
我绝对想保持两层安全。 该网站的匿名一方将有权访问显示匿名数据所需的SPROC,而pipe理部分将具有额外访问权限。 没有身份模仿,这怎么可能呢?
好问题! 我不知道这是不同的IIS 7.5,直到我读你的post。 (我会upvote你,但我没有足够的分数)。
我从核心IIS团队工作的人员那里find了一篇好文章。 也许这会帮助你一点点。
模拟仍然有效,但要到SQL Server(第二跳),你必须使用“委托”。 让代表团工作最重要的部分是你必须使用Kerberos。 安装并启用它是一回事,确保它被实际使用是另一回事。 谷歌search“两跳”和“代表团”让你得到很多“如何”的信息,比其他人好。 这个有很好的照片
我build议先在IE中testing。
一旦你有它的工作,即移动到铬,其中IIS需要连接到服务器必须是白名单。 最重要的关键是“AuthNegotiateDelegateWhitelist”
这是一个关于如何做到这一点的post