Recientemente hemos lanzado la última versión de nuestra aplicación de intranet, que ahora usa la autenticación de Windows como estándar, y necesita poder conectarse a un servidor SQL configurado con las credenciales de dominio del usuario final.¿Cómo configuro IIS para que se utilicen las credenciales de dominio del usuario cuando se conecta al servidor SQL?
Últimamente hemos encontrado que en un par de implementaciones de clientes, aunque IIS puede ver las credenciales de dominio del usuario, no las pasará al servidor SQL. En cambio, parece usar la cuenta anónima. Esto es a pesar de seguir todos los pasos correctos (cambiar la seguridad del directorio a Win Auth, actualizar Web.Config para usar Win Auth y denegar usuarios anónimos).
He estado leyendo mucho y sugiero que debemos asegurarnos de que Kerberos esté en su lugar, pero no estoy seguro (a) de cuán válido es esto (es decir, ¿es realmente un requisito?) O (b) cómo investigar si está configurado o cómo configurarlo.
Estamos en una situación en la que tenemos que poder configurar IIS o la aplicación para que funcione para el cliente o explicarle al cliente exactamente lo que deben hacer para que funcione.
Hemos logrado reproducir esto en nuestra red interna con un servidor SQL de prueba y una caja IIS de desarrollador, así que vamos a perder el tiempo con esta configuración y veremos si podemos encontrar una solución, pero si alguien tiene ideas brillantes, ¡me encantaría escucharlas!
Me gustaría especialmente escuchar las opiniones o consejos de las personas en términos de Kerberos. ¿Es este un requisito, y si lo es, cómo hago un bosquejo para los clientes sobre cómo debería configurarse?
Ah, y también he visto a un par de personas mencionar la 'regla clásica de un salto' para dominios y pasar las credenciales de Windows, pero no sé cuánto peso realmente tiene.
Gracias!
Matt
Gracias por ese enlace. ¡Parece una buena lectura! Lo atravesaré mañana. –
Excelentes artículos ... ¡gracias! Parece que estamos ante tres posibles soluciones: decirle al cliente que implemente Kerberos, ejecutar la aplicación web usando una cuenta de dominio fijo para conectarse a SQL Server o alojar la aplicación web con SQL Server. –
Para cualquier persona interesada, era el problema del "doble salto", y nuestra solución final era el complemento MMC Usuarios y equipos de Active Directory. Examinamos las propiedades de la cuenta de la computadora (para el servidor IIS) y en la pestaña "Delegación" permitimos la delegación a servicios específicos. Agregamos el servidor SQL que aloja las bases de datos de la aplicación a la lista de máquinas que aceptan delegación, y especificamos el Servicio MSSQLSvc. Esto garantiza que el servidor IIS solo es confiable para pasar credenciales para SQL Server, y no para otros servicios. –