Поделиться через

Проблемы с проверкой подлинности для ADSI с помощью ASP

  • Статья

В зависимости от конфигурации интрасети могут возникать проблемы с проверкой подлинности при запуске кода ADSI с страницы ASP.

Аутентификация для доступа к контроллеру домена может быть предоставлена с помощью делегирования. Делегирование позволяет службе выступать в качестве пользователя, чтобы он смог получить доступ к сетевому ресурсу с помощью учетных данных этого пользователя. Если в интрасети используется эта конфигурация, необходимо настроить службы IIS для использования делегирования. Задайте механизм проверки подлинности IIS как анонимный или NTLM. При выборе анонимного контекста безопасности будет сопоставлен с IUSR_MACHINE учетной записью. Если выбрать NTLM, контекст безопасности изменится в зависимости от того, какие пользователи входят на веб-сайт.

Если вы используете сервер IIS, использующий запрос и ответ NT, или клиент браузера, который не поддерживает Kerberos, то проверка подлинности двойного прыжка не поддерживается. Проверка подлинности двойного прыжка означает, что учетные данные пользователя передаются из клиента браузера на сервер IIS, а затем сервер IIS передает учетные данные серверу серверной части. В этой ситуации можно использовать одно из следующих решений, чтобы разрешить доступ к каталогу на странице ASP:

  • Используйте IADsOpenDSObject::OpenDSObject или ADsOpenObject для передачи учетных данных в Active Directory. Веб-страница проверяет подлинность подключенного пользователя к серверу IIS. Когда пользователь прошел проверку подлинности, веб-страница может использовать OpenDSObject или ADsOpenObject для передачи имени пользователя и пароля службе каталогов для получения проверки подлинности на сервере серверной части. Затем веб-страница может получить доступ к данным из каталога.
  • Добавьте код в COM-объект и поместите этот объект в приложение COM+ (ранее называемый пакетОМ MT). Затем приложение COM+ можно запустить как учетную запись пользователя домена.
  • Используйте несколько страниц ASP, где одна страница проходит проверку подлинности клиента и другую страницу передает учетные данные в каталог с помощью анонимной проверки подлинности в учетной записи пользователя домена.

Эти методы включают проверку подлинности веб-клиента, а затем изменение учетных данных при обращении к каталогу, так как проверка подлинности двойного прыжка с теми же учетными данными невозможна.