Iis

IIS 身份:應用程序池與基本設置中的連接方式

  • April 5, 2013

在 IIS 7.5 中網站的基本設置部分,有一個選項可以通過Connect As.... 如果保持關閉,則使用直通身份驗證。

我認為這將使用應用程序池的身份,但事實並非如此。為了讓我的網站在正確的使用者帳戶下連接到 MSSQL,我必須在Connect As...螢幕下指定使用者。

Connect As...那麼和Application Pool Identity有什麼區別呢?

推測這可​​能與電腦通過網路模擬應用程序池身份的能力有關。“連接身份”已保存(並加密)憑據,因此它可以創建完整的主令牌並以該使用者身份訪問資源。使用“應用程序使用者(通過身份驗證)”,這將是一個現有的令牌並試圖使用該令牌進行模擬。在這種情況下,如果執行模擬的電腦不受委派信任,則它不會成功。

這應該很容易測試和驗證。

電腦是否受委派信任?在 Active Directory 使用者和電腦 > 電腦 > 屬性 > 委派選項卡中。選擇“信任此電腦以委託給任何服務(僅限 Kerberos)”。

您可能還需要設置 IIS7 配置設置“useAppPoolCredentials”。這可以使用以下命令進行設置:

appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true  

useAppPoolCredentials = True,2008 年使用 Kerberos 委派

https://blogs.technet.com/b/proclarity/archive/2011/03/08/useapppoolcredentials-true-with-kerberos-delegation-on-2008.aspx

可能相關:

https://stackoverflow.com/questions/3775569/help-with-kerberos-authentication-in-iis-7

引用自:https://serverfault.com/questions/366234