Правило .NET One Hop и веб-части SharePoint

Question

Привет! У меня есть веб-часть SharePoint, которая скомпилирована как DLL и помещена в папку BIN моего SP-сайта. Моя веб-часть работает на моей локальной машине, но когда я запускаю ее в производство, она выходит из строя с

(401) Unauthorized.

После некоторых исследований я пришел к так называемому «правилу одного прыжка». Это означает, что я должен либо передать учетные данные пользователя сети, либо использовать

<identity impersonate= "true" />

в моем web.config. Я не хочу жестко кодировать пользователя сети, поэтому мой вопрос заключается в том, как я могу использовать подражателя в своей веб-части? Поддерживают ли dll web.configs? Спасибо за помощь.

Answer 1

Ваша веб-часть не работает, вероятно, из-за CAS; Возможно, вам потребуется повысить уровень разрешений или добавить специальные права доступа, которые будут предоставлены вашей сборке, поскольку она не является полностью доверенной, как в папке bin.

Если вы уверены, что это просто проблема подражания, не можете ли вы просто использовать узлы в вашем файле web.config?

Answer 2

Impersonate всегда имеет значение true в web.config приложения SharePoint, поэтому проблема должна быть в другом месте. Веб-части, развернутые в папке BIN веб-приложения, запускаются в изолированной программной среде и по умолчанию имеют ограниченные разрешения. Возможно, это источник проблемы.

Answer 3

Да, как упоминал Тудор, скорее всего, это Code Access Security. Если вы поместите его в GAC, у вас не будет этой проблемы (GAC полностью доверяет).

Вот несколько статей, которые должны помочь вам с веб-частями CAS и SharePoint. Хитрость в том, чтобы знать, какие IPermissions вам нужны.

• http://msdn.microsoft.com/en-us/library/ms916855.aspx
• http://www.combined -knowledge.com / Загрузки / Код% 20Access% 20Security% 20in% 20SharePoint% 202007% 20for% 20Administrators.pdf
• http://www.dotnetmafia.com/blogs/dotnettipoftheday/archive/2007/07/05/how-to-configure-code-access-security-for-a-web-part.aspx

Answer 4

Если вы смотрите на проблему «двойного прыжка», то вы не будете использовать NTLM. Вам необходимо использовать аутентификацию Kerberos, поскольку билет Kerberos может переходить от пользователя к веб-серверу и веб-службе. Вам нужно настроить имена принципов обслуживания с помощью SetSPN.

Эта веб-часть обращается к внешним веб-службам? Или ошибка разрешений основана на локальной безопасности?

Answer 5

Не думаю, что есть что добавить в DLL. В любом случае, насколько мне известно.