Compartilhar via

Problemas de autenticação para ADSI com ASP

  • Artigo

Dependendo da configuração da intranet, problemas de autenticação podem ocorrer quando o código ADSI é executado a partir de uma página ASP.

A autenticação para acessar o controlador de domínio pode ser dada usando delegação. A delegação permite que um serviço atue como usuário, para que ele possa acessar um recurso de rede usando essas credenciais de usuário. Se a intranet seguir essa configuração, você deverá configurar o IIS para usar a delegação. Defina o mecanismo de autenticação do IIS como anônimo ou NTLM. Se você escolher anônimo, seu contexto de segurança será mapeado para IUSR_MACHINE conta. Se você selecionar NTLM, o contexto de segurança será alterado, dependendo de qual usuário fizer logon em seu site.

Se você estiver usando um servidor IIS que usa o desafio/resposta NT ou um cliente de navegador que não oferece suporte a Kerberos, a autenticação de salto duplo não é suportada. A autenticação de salto duplo significa que as credenciais do usuário são passadas do cliente do navegador para o servidor IIS e, em seguida, o servidor IIS passa as credenciais para o servidor back-end. Nessa situação, você pode usar uma das seguintes soluções para permitir o acesso ao diretório da página ASP:

  • Use IADsOpenDSObject::OpenDSObject ou ADsOpenObject para passar credenciais para o Active Directory. A página da Web autentica o usuário conectado no servidor IIS. Quando o usuário tiver sido autenticado, a página da Web poderá usar OpenDSObject ou ADsOpenObject para passar um nome de usuário e senha para o serviço de diretório para obter autenticação para o servidor back-end. A página da Web pode acessar dados do diretório.
  • Adicione seu código a um objeto COM e coloque esse objeto em um aplicativo COM+ (anteriormente chamado de pacote MTS). O aplicativo COM+ pode ser executado como uma conta de usuário de domínio.
  • Use várias páginas ASP, onde uma página autentica o cliente e outra página passa credenciais para o diretório usando autenticação anônima em uma conta de usuário de domínio.

Esses métodos envolvem autenticar o cliente Web e, em seguida, alterar as credenciais ao entrar em contato com o diretório porque a autenticação de salto duplo, com as mesmas credenciais, não é possível.