我有一个PHP站点(默认网站)和一个ASP.NET站点(在默认网站下的应用程序)一起运行。 我已经为默认网站设置了Windows身份validation,这很好。 问题是我的ASP.NET应用程序创build一个Web请求 – (HttpWebRequest)WebRequest.Create(url) – 从PHP应用程序中获取信息。 没有身份validation就没问题,但使用Windows身份validation,它会得到(401)未经授权的响应。 我想通过request.Credentials = new NetworkCredentials(user, pwd, domain);传递凭据request.Credentials = new NetworkCredentials(user, pwd, domain); 但我真的正在寻找一种方式来让PHP应用程序允许其他应用程序在同一个服务器上(甚至是站点)通过。 我如何告诉默认网站允许这些请求?
我们的组织必须能够使用我们的域名parsing服务器提供非域名的打印设备,而且自Windows 7发布以来,似乎Kerberos票据/打印身份validation只是用完了,而不会像Windows XP那样重新进行身份validation。 发生这种情况时,域打印机似乎处于脱机状态。 如果强制authentication(即打开打印共享),则打印机再次可用。 如何在不进行手动重新authentication的情况下完成这项工作?
我的问题:是否有更好的方法来启用2域之间的身份validation比我在下面做的,是名称映射正确的事情使用? 有2个领域; 一个是主要的企业领域,另一个是较小的子领域。 公司域拥有公司中每个用户的帐户,并生成一个电子邮件证书(支持客户端authentication)。 子域名与企业域名之间没有信任关系; 而子域中的用户有2个login名:一个用于公司域,另一个用于子域。 小的子域名托pipe一个网站,需要一个用户名和密码。 我们希望使用带有电子邮件证书的智能卡,因此login到任何一个域对用户都是透明的。 我开始手动为子域创build名称映射到由公司域颁发的电子邮件证书,但我知道如何获得这些证书的唯一方法是让用户向我发送签名的电子邮件,然后将证书导出到文件。 该过程如下所示: 用户发给我一个签名的电子邮件 我从签名的电子邮件下载用户证书并将其保存到文件中。 运行我创build的脚本读取证书,通过AD中的电子邮件地址查找用户,并在用户和证书之间创build名称映射。 因此,现在用户可以对站点进行身份validation,该站点使用由主域颁发的证书在子域的域控制器上查找他们的凭据。 注意事项: 子域不能有CA服务器。 我在公司networking上没有特权。 我拥有子域的完整权限,包括networking服务器的configuration。
我需要为IIS 7.5上的特定网站启用Windows Autenthication 如果我打开“Atenthication”,我只看到3个选项: 匿名 基于表格 ASP.NET表示 (3以上由我翻译,我有意大利IIS) 我被告知我应该在这个列表中看到“Windows AUtenthication”。 在同一个网站的“模块”中,我看到“Windows身份validation”,代码为“System.Web.Secuitiry.WindowsAuthenticationModule”,模块types为“托pipe”,types为“inheritance”。 我完全卡住了。
我有一个运行Windows身份validation的ASP.NET应用程序(Framework 4 Classic Mode) – 它是一个Intranet。 模仿已开启。 匿名closures。 第一方面,身份validation在每个用户的个人电脑上完美运行 这个用户被提示input凭据,input他们并提交导致input清除,并再次提示。 在3次尝试之后,存在拒绝访问消息。 我已经格式化用户的PC(出于其他原因),并重新从头创build他们的域帐户。 问题仍然存在。 它发生在这个用户从任何工作站的所有浏览器,但所有其他用户都没问题。 在IIS服务器上还有3个其他站点。 一个具有相同的设置,另外两个处于Integrated Pipeline模式。 他们都工作,包括一样的。 所有4个站点的目录权限(NTFS)是相同的。 用户与其他人在同一个AD组中。 我已经使用SBS控制台和AD用户和组重新创build了3次,并尝试了不同的用户名。 没有效果。 Intranet位于IE的“受信任的站点”列表中。 服务器事件日志提到一个未处理的exception,但没有详细信息。 有没有人有任何其他的想法?
我有一个ASP.NET网站在本地Intranet上运行的IIS7。 我想限制访问这个网站的特定用户组。 我想我应该可以通过在IIS中使用Windows身份validation来完成此操作,但是我遇到了麻烦。 我启用了IIS的Windows身份validationfunction,并在我的网站上的inetmgr中启用了Windows身份validation。 我在我的网站web.config中设置身份validation: <authentication mode="Windows" /> 从我读到的,这应该是所有我需要做的…但似乎没有发生。 我试图通过在Windows中使用目录安全性限制访问,并能够通过删除目录上的读访问来拒绝对所有用户的访问。 但是,我不能够恢复访问所需的特定用户。 感觉像IIS不知道用户请求的页面是谁,好像它从来没有真正做过任何validation。 我错过了什么吗?
我们有一个Web应用程序(ASP.NET MVC)安装在IIS上,用于启用Windows身份validation的客户端之一。 身份validation正常工作,但问题在于授权级别。 授权types是基于angular色的授权。 所以我们有三个级别的授权:MISV_Administrator MISV_Normal MSIV_Readonly 如果我们在安装了IIS和Web应用程序的同一台机器上本地创build这些组,并将域用户分配给他们,则用户可以访问我们的应用程序。 但是,如果我们在活动目录中将这些相同的组创build为域全局组,并将用户分配给这些组,则现在用户会收到未授权错误。 计算机,Active Directory服务器和IIS服务器位于同一个域中。 所以我不明白为什么它在本地工作,而不是全球工作组?
我试图让一个ASP .NET网站上运行在IIS6上。 该网站将在其自己的应用程序池中运行,并使用Windows身份validation,并closures匿名访问。 当我运行networking服务下的应用程序池,一切工作正常。 但是,我们需要应用程序池在不同的帐户下运行,因为此帐户需要一些额外的权限(我们正在打印Word文档)。 这个新帐户是本地用户组和IIS_WPG组的成员。 它也被授予“作为服务login权”。 当我浏览到网站时,我被提示input凭据,不是一次,而是几次。 当页面最终加载时,它看起来是错误的,因为没有应用样式表。 我的怀疑是,每个文件(例如所有的图像,样式和脚本文件)被提示一次浏览器请求,并且出于某种原因,网站无法validation这些凭据以便将文件送回。 如果我允许匿名访问页面加载罚款 – 我们不想让它,但我提到它的情况下,它提供了进一步的线索。 我的理论是,也许应用程序池运行的帐户需要权限来validation域凭据? 如果是这样,我该如何启用它?
我有两台Windows Server 2008服务器。 1)是一个Web服务器 2)是一个数据库服务器 我需要使用Windows身份validation访问数据库服务器, 因此我需要在两台机器上创build一个新的用户。 我发现用户域相当混乱。 帮助或提示将是真棒。 有任何想法吗?
我们为一些中小型企业提供托pipeIT服务。 我正在寻找一种解决scheme,以可扩展的方式pipe理我们访问我们客户的AD森林。 现在,我们在AD中手动创build自己的login,并拥有足够的权限。 正如你可以想象的,这不能很好地扩展,因为我们获得员工和需要能够撤销密码等…涉及手动login到每个客户端更新广告。 对于我们几乎所有的客户,我们都pipe理着他们的整个IT基础架构,包括AD,所有的服务器,networking等。所以如果我们能够获得可靠的解决scheme,我们应该能够合理地修改客户端的ADconfiguration来实现我们的目标。 我们也做托pipe的服务,所以我们有一个可靠的方式来托pipe我们自己的基础设施,供客户同步回去。 我想要什么 一种能够集中pipe理多个客户,跨站点/森林等的AD帐户的方法… 我们最好转换为在客户的AD中为我们的每一位技术人员创build自己的账户,因此我们有一定程度的责任心,并且访问策略可以更细化。 显然,上述观点引起了客户AD的污染(尽pipe我们现在没有太多的人),所以我们要尽量避免客户不得不经常看到我们的用户。 这当然是一个棘手的问题,但也许简单地把我们的用户放在一个单独的OU中就可以部分地解决这个问题。 我们的主要目标是简化招聘/解雇stream程,并减less人为错误的可能性(例如,在访问分解期间错过禁用客户X的访问)。 因此,密码重置,禁用用户等应该在一定程度上同步。 我认为权限不是一个问题,因为无论如何它们可能是以每个用户为基础的。 多平台也是一个目标。 我们需要能够pipe理路由器和Linux机器,RADIUS似乎是一个明显的select。 服务器主要是Windows 2008 R2,包括一些Windows 2012,一些Linux,思科和Juniper设备。 我应该添加RADIUS等…不应该是AD的唯一来源。 目标是让客户现有的AD帐户满足他们的需求,然后从RADIUS导入我们自己的AD帐户。 我所试过的 到目前为止,我一直关注如何将RADIUS帐户集成到AD中 – 但是我发现的一切都是关于使用AD作为AD集成的主要来源,而我想要更多的是相反的。 我认为RAIDUS对我们很有意义,因为我们的托pipe基础设施很多都是非Windows的,尽pipe我们的客户主要是基于Windows的。 我们正在为我们的DSL尾巴提供RADIUSauthentication,无论如何。 对于所有员工账户拥有单一的事实来源是有意义的。 非常有兴趣听到类似情况的人们能够解决这个问题,因为我没有在网上find太多的东西。 谢谢。