Delen via


Verificatieproblemen voor ADSI met ASP

Afhankelijk van de configuratie van uw intranet kunnen verificatieproblemen optreden wanneer ADSI-code wordt uitgevoerd vanaf een ASP-pagina.

Verificatie voor toegang tot de domeincontroller kan worden gegeven met behulp van delegatie. Met delegering kan een service fungeren als de gebruiker, zodat deze toegang heeft tot een netwerkresource met behulp van die gebruikersreferenties. Als uw intranet deze configuratie volgt, moet u IIS instellen voor het gebruik van delegatie. Stel het IIS-verificatiemechanisme in als Anoniem of NTLM. Als u anoniem kiest, wordt uw beveiligingscontext toegewezen aan IUSR_MACHINE account. Als u NTLM selecteert, wordt de beveiligingscontext gewijzigd, afhankelijk van de gebruiker die zich aanmeldt bij uw website.

Als u een IIS-server gebruikt die gebruikmaakt van de NT-vraag/reactie of een browserclient die Kerberos niet ondersteunt, wordt verificatie met dubbele hop niet ondersteund. Verificatie met dubbele hop betekent dat de gebruikersreferenties van de browserclient worden doorgegeven aan de IIS-server en vervolgens de IIS-server de referenties doorgeeft aan de back-endserver. In dit geval kunt u een van de volgende oplossingen gebruiken om toegang tot de map vanaf de ASP-pagina toe te staan:

  • Gebruik IADsOpenDSObject::OpenDSObject of ADsOpenObject om referenties door te geven aan Active Directory. De webpagina verifieert de verbonden gebruiker op basis van de IIS-server. Wanneer de gebruiker is geverifieerd, kan de webpagina OpenDSObject of ADsOpenObject gebruiken om een gebruikersnaam en wachtwoord door te geven aan de adreslijstservice om verificatie voor de back-endserver te verkrijgen. De webpagina heeft vervolgens toegang tot gegevens uit de map.
  • Voeg uw code toe aan een COM-object en plaats dit object in een COM+-toepassing (voorheen een MTS-pakket genoemd). De COM+-toepassing kan vervolgens worden uitgevoerd als een domeingebruikersaccount.
  • Gebruik meerdere ASP-pagina's, waarbij een pagina de client verifieert en een andere pagina referenties doorgeeft aan de directory met behulp van anonieme verificatie voor een domeingebruikersaccount.

Deze methoden omvatten het verifiëren van de webclient en vervolgens het wijzigen van de referenties bij het contact opnemen met de directory, omdat verificatie met dubbele hop, met dezelfde referenties, niet mogelijk is.