iis7 делегирует пользователя Windows для аутентификации в пул приложений для доступа к SQL-серверу

Question

Принцип работы нашей организации в области безопасности основан на SQL Server. В основном пользователи добавляются в группы Active Directory, затем эти группы связываются с базами данных.

Итак, у меня есть приложение Silverlight RIA для интранета. Его конфигурация настроена на использование аутентификации и олицетворения Windows. Веб-сервер, на котором он размещен, настроен на использование олицетворения и проверки подлинности Windows.

Когда это приложение обращается к бэкэнду SQL Server, как я могу передать данные аутентифицированных пользователей в пул приложений. Так приложение запрашивает базу данных под своими учетными данными? Или как я могу запросить базу данных, используя их учетные данные через IIS 7.

Спасибо

Answer 1

Это классическая проблема двойного перехода, когда NTLM может передавать учетные данные только от клиента (silverlight) на один сервер (веб-уровень). В этот момент на сервере есть только токен, а не пара пользователь / пароль, поэтому он не может создать следующий токен для передачи на второй сервер (в данном случае SQL). При этом вы не сможете напрямую получить то, что хотите.

Вы не можете "заставить пул приложений брать идентификатор"; но, если я правильно помню, делегирование авторизации Keberos и AD может решить этот сценарий доступа к SQL через веб-уровень с использованием учетных данных клиента.

Взгляните на эту тему: Решение, позволяющее избежать двойного перехода от клиента> веб-службы> SQL Server