Использование DefaultCredentials и DefaultNetworkCredentials
https://stackoverflow.com/questions/1058636
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Нам трудно понять, как работают эти объекты учетных данных.На самом деле, они могут работать не так, как мы ожидали.Вот объяснение текущей проблемы.
У нас есть 2 сервера, которым нужно общаться друг с другом через веб-сервисы.Первый из них (давайте назовем его Server01) имеет Службу Windows, запущенную от имени учетной записи NetworkService.Тот , другой Server02 имеет службы отчетов, работающие с IIS 6.0.Служба Windows на Server01 пытается использовать Server02 ReportingServices Веб-сервис для создания отчетов и отправки их по электронной почте.
Итак, вот что мы пробовали до сих пор.
Настройка учетных данных во время выполнения (Это работает совершенно нормально):
rs.Credentials = new NetworkCredentials("user", "pass", "domain");
Однако теперь, если бы мы могли использовать универсального пользователя, все было бы прекрасно...нам этого не позволено.Итак, мы пытаемся использовать DefaultCredetials или DefaultNetworkCredentials по умолчанию и передать его веб-сервису RS:
rs.Credentials = System.Net.CredentialCache.DefaultNetworkCredentials
Или:
rs.Credentials = System.Net.CredentialCache.DefaultCredentials
В любом случае это не сработает.Мы всегда получаем 401 неавторизованный из IIS.Теперь мы знаем, что если мы хотим предоставить доступ к ресурсу, зарегистрированному как NetworkService, нам нужно предоставить его DOMAIN\MachineName$ (http://msdn.microsoft.com/en-us/library/ms998320.aspx):
Предоставление доступа к удаленному серверу SQL
Если вы обращаетесь к базе данных на другом сервере в том же домене (или в доверенном домене), сетевые учетные данные учетной записи сетевой службы используются для аутентификации в базе данных.Учетные данные учетной записи сетевой службы имеют вид DomainName\AspNetServer$, где DomainName - это домен сервера ASP.NET, а AspNetServer - это имя вашего веб-сервера.
Например, если ваше ASP.NET приложение выполняется на сервере с именем SVR1 в домене CONTOSO, SQL Server видит запрос доступа к базе данных от CONTOSO\SVR1$.
Мы предположили, что предоставление доступа будет работать таким же образом с IIS.Однако это не так.Или, по крайней мере, что-то не настроено должным образом для правильной аутентификации.
Итак, вот несколько вопросов:
Мы где-то читали о "Олицетворении пользователей", нужно ли нам устанавливать это где-то в Служба Windows ?
Можно ли предоставить доступ к встроенной учетной записи NetworkService удаленному серверу IIS ?
Спасибо за чтение!
Решение
Все детали, которые вам нужны, включены в эту очень старую статью,
http://msdn.microsoft.com/en-us/library/ms998351.aspx
Короче говоря, когда вы обнаружите, что устранение подобных неполадок сбивает вас с толку, вам следует сначала ознакомиться с техническими деталями, лежащими в основе ASP.NET тщательное олицетворение.
Другие советы
Вот некоторые вещи, которые вы могли бы проверить:- установите SPN (Имя участника-службы) для службы отчетов;вы можете найти хорошие примеры в Google;- Разрешить делегирование (ClientCredentials.Windows.Разрешить уровень персональности)
Проблема в том, что вам не удается пройти аутентификацию в IIS или не удается пройти аутентификацию в SSRS?Учетной записи DOMAIN\MachineName $ может потребоваться разрешение в SSRS для запуска отчета, который вы пытаетесь автоматизировать.
SSRS обычно выполняет довольно хорошую работу по правильной настройке IIS, поэтому вам не нужно возиться с этими настройками.Я дважды проверил свою установку (это SSRS 2005, в SSRS 2000 все могло работать по-другому, и вы не сказали, какую версию вы используете), и она настроена на использование проверки подлинности Windows и включает олицетворение.Это означает, что IIS должен в основном просто проверять подлинность ваших учетных данных (проверять правильное имя пользователя / пароль), а не авторизироваться (определять, есть ли у этого пользователя разрешение на запуск соответствующего отчета).Затем IIS передает учетные данные в SSRS, который имеет свои собственные настройки для определения того, какие учетные записи имеют разрешение на просмотр отчетов.
Кроме того, вы можете автоматизировать отправку отчетов по расписанию непосредственно в SSRS, поэтому вам может вообще не понадобиться служба Windows, если ваше планирование достаточно простое (например, ежедневное, еженедельное и т.д.).
