如何配置 IIS，以便在连接到 SQL Server 时使用用户的域凭据？

Question

我们最近发布了最新版本的 Intranet 应用程序，该应用程序现在使用 Windows 身份验证作为标准，并且需要能够使用最终用户的域凭据连接到已配置的 SQL 服务器。

最近我们发现，在一些客户部署中，尽管 IIS 可以看到用户的域凭据，但它不会将这些凭据传递到 SQL Server。相反，它似乎使用匿名帐户。尽管遵循了所有正确的步骤（将目录安全性更改为 Win Auth、更新 Web.Config 以使用 Win Auth 并拒绝匿名用户），情况还是如此。

我已经做了很多阅读，表明我们需要确保 Kerberos 就位，但我不确定（a）这有多有效（即这真的是一个要求吗？）或（b）如何着手调查它是否已设置或如何设置。

我们面临的情况是，我们需要能够配置 IIS 或应用程序以供客户使用，或者向客户准确解释他们需要做什么才能使其正常工作。

我们已经成功地通过一个测试 SQL 服务器和一个开发人员的 IIS 盒子在我们的内部网络上重现了这个问题，所以我们将搞乱这个设置，看看我们是否能想出一个解决方案，但如果有人有的话好主意，我很高兴听到它们！

我特别想听听人们对 Kerberos 的想法或建议。这是一个要求吗？如果是，我如何向客户概述应如何配置？

哦，我还看到有几个人提到了域的“经典一跳规则”并传递 Windows 凭据，但我不知道这实际上有多大影响？

谢谢！

马特

Answer 1

这称为双跳问题 并禁止将用户的凭据转发给第三方。当他们从一台计算机浏览另一台计算机（第一跃点）上的站点并将凭据转发到第三台计算机（第二跃点）时，就会发生这种情况。

如果您在同一台计算机上托管 IIS 和 SQL Server，则不会出现此问题。

在 如何在 ASP.NET 中使用 System.DirectoryServices 命名空间，其中解释了双跳问题以及主要和辅助令牌。

Answer 2

要在用户的 Active Directory 或 Windows 凭据下运行您的应用程序，请确保以下各项：

• IIS 应用程序设置为不允许匿名访问
• IIS 应用程序使用集成 Windows 身份验证

• 您的连接字符串应具有 Integrated Security=SSPI 以确保用户的 Windows/AD 凭据传递到 SQL Server。

  ie Data Source=myServerAddress;Initial Catalog=myDataBase;Integrated Security=SSPI;

Answer 3

您说您不确定“如何调查它是否已设置或如何设置它”。

为此，我衷心推荐一个名为 委托配置。这是一个非常方便的应用程序，您可以告诉您 kerberos 是否设置正确。

将其解压到一个目录中，在IIS中配置一个虚拟目录指向它。浏览主页，告诉它您想要允许访问哪个后端服务器（例如 UNC、SQL、HTTP 等），它会告诉您其设置是否正确，并解释原因。

如果您愿意的话，它甚至可以重新配置 kerberos 来解决问题（虽然我没有使用过这个 - 我宁愿自己重新配置它以了解我将来所做的事情）

我意识到这来得太晚了您的特定问题，但认为值得与后续其他人分享 - 特别是解释委托为何有效或无效的工具能力。我发现它非常宝贵。