Проверка подлинности IIS7.5 для входа в Sql Server 2008 r2

Question

У меня есть то, что я думал, было бы довольно нормальным сценарием ...

У меня есть -WCF Client -WCF служба размещена в AppFarbic в IIS7.5 -SQL Server 2008 r2

IIS работает с использованием идентификатора пула приложений

Я подключаюсь с клиента, используя следующий файл конфигурации

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <system.serviceModel>     
      <client>            
            <endpoint 
                name="NetTcpBinding_IXXXService"
                address="net.tcp://app02.xx.com/XXXService/XXXService.svc"
                binding="netTcpBinding"                 
                contract="XXXClient.IXXXService">
                <identity>
                    <servicePrincipalName value="host/app02.xx.com" />                  
                </identity>
            </endpoint>
        </client>
    </system.serviceModel>
</configuration> 

IIS работает с использованием удостоверения пула приложений.

Я могу заставить службу подключаться к базе данных, если создаю \ $ логин.

При использовании удостоверения пула приложений это единственный способ подключения к базе данных с использованием проверки подлинности Windows?

Я предполагаю, что это позволяет учетной записи сетевой службы на этом компьютере получать доступ к базе данных. Я также предполагаю, что это также означает, что любая служба, работающая как сеть, может получить доступ к базе данных?

Есть ли способ привязать удостоверение пула приложений к имени входа в базу данных?

РЕДАКТИРОВАТЬ: Когда я изменяю пользователя пула приложений на другого пользователя с доступом к базе данных, я получаю ошибку SSPI fail

Answer 1

Пожалуйста, прости меня за удар, когда я не знаком с WCF или AppFarbic.Хотя я немного знаю об IIS и аутентификации на сервере SQL на другом сервере.

1. Можете ли вы подключиться к базе данных, если вы используете защиту на основе имени пользователя с паролем?
2. Чтометод проверки подлинности, который вы используете на веб-сайте?
3. Если вы пытаетесь использовать встроенную проверку подлинности Windows, и ваш метод веб-проверки подлинности также интегрирован, то вы должны использовать безопасность Kerberos в IIS, чтобы разрешить делегирование для «второго»прыгать "по сети на сервер SQL.Обычной безопасности NT недостаточно, потому что она может выполнять только олицетворение, что не позволяет этого.Получение делегирования для работы может быть трудной задачей, но вы должны изучить используемый SPN и убедиться, что он правильно зарегистрирован на сервере SQL, а также возиться с IIS, чтобы убедиться, что Kerberos включен и фактически работает вместо этого.об этом тихо сползает обратно в NTLM.Веб-сервер также должен быть «доверенным для делегирования» в групповой политике домена (при условии, что ваш веб-сервер присоединен к домену).