首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >典型ASP模拟Windows身份验证Windows身份验证文件访问被拒绝IIS 7

典型ASP模拟Windows身份验证Windows身份验证文件访问被拒绝IIS 7
EN

Server Fault用户
提问于 2011-11-29 19:14:17
回答 2查看 6.7K关注 0票数 3

我有一个经典的ASP/VBScript网站(登陆页面- default.asp),它将网站用户访问(LOGON_USER)活动通过Scripting.FileSystemObject写入一个简单的txt文件。

VBScript创建一个FSO来打开/创建文件夹“日志”下的一个新文件

Windows 2008 R2 64位环境

IIS 7.5 -

  • 身份验证-启用Windows自定义。所有其他身份验证都已禁用。
  • AppPool在经典PipeLine模式下运行;
  • 启用设置为true的32位应用程序;
  • 身份是NetworkService。
  • 将用户配置文件设置为false
  • ASP: executeInMta设置为false

用于日志文件夹的

ACL

  • 用户分组阅读和执行;
  • 系统-全面控制(继承);
  • 管理员-全面控制(继承);
  • IIS_IUSRS -完全控制;
  • 网络服务-完全控制。

这个设置产生了一个'800A0046 -许可被拒绝‘。请注意,windows身份验证已启用。我将LOGON_USER值映射到DB中的一个值,以允许用户访问我的网站。AppPool设置为NT \NetworkService。虽然应用程序标识被设置为NetworkService,但在用户声明之后,文件将通过经过身份验证的用户进行访问(模拟)。下面的样本过程监控活动。

进程监视文件系统活动

  • default.asp -期望访问-成功-模拟:域名\用户名
  • 日志\log3011.txt-所需访问-拒绝-模拟: domainname\username

现在,这使我不得不进入“logs”文件夹的安全属性,并授予每个允许的用户读/写权限。我要寻找的是,由于我的应用程序池以NetworkService的形式运行(NetworkService完全控制日志文件夹),所以我希望通过网络服务访问日志文件夹,而不是通过windows身份验证验证用户。我知道这是使用Windows身份验证时的预期结果。但是,我使用windows自动登录只是为了验证用户是否被允许访问该网站。我需要所有其他网站活动使用NT授权\网络服务。(我要求提供一个解决方案,以停止经典ASP模拟经过身份验证的windows用户,而是使用appool标识-在我的情况下使用网络服务-来访问资源)

这要求太高了吗?请给我适当的解释。谢谢。

EN

回答 2

Server Fault用户

回答已采纳

发布于 2011-11-30 23:02:06

是啊。典型的ASP模拟。您可能会发现StackOverflow在这方面的知识更多,因为我建议这是一个编程主题。

您想要的模型通常在ASP.Net模式和实践文档中被称为“受信任的子系统”模型(几年前)。

在过去,我使用ASP.net页面进行写作,通过WinHTTP从ASP页面调用;使用自己指定身份的COM对象是另一种选择。您可以(很容易)将页面转换为ASP.Net,只需在关闭模拟的情况下使用。然后是"call RevertToSelf()“选项,它忘记了线程标识;您可能还需要一个COM对象来处理线程,再次使用内存。

编辑:或者使用一个以不同身份运行的数据库;文件系统只有问题,因为它很容易使用!

另外,如果用户都写入同一个文件,那么当多个用户同时访问日志时,“写日志”方案是不可行的,而且它最多只会在该场景中引入延迟。

如果每个用户只需要写到他们自己的日志(并且希望他们在写的时候不要太快地刷新以避免并发问题),那么您可以简单地授予这些用户对该文件夹的写权限。没有Read,它就有点没用;如果不实际攻击这个盒子(它是Windows集成的,所以您在内部网上),那么他们很难不小心过度填充用户名和DoS机器。

票数 2
EN

Server Fault用户

发布于 2011-11-29 22:46:35

验证没有将executeinMTA设置为true。您可以在网站的asp设置中验证这一点。

票数 1
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/335942

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档