J'essaie de sécuriser une application dans IIS7 en utilisant les règles d'autorisation .NET.Règles d'autorisation IIS7/Config - Invite perpétuellement
Par défaut, le serveur Web permet à tous les utilisateurs d'accéder (ce qui est hérité).
J'ai ajouté, juste pour ce répertoire d'application, une commande deny all users, ainsi qu'une commande allow pour des utilisateurs spécifiques.
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.web>
<authorization>
<allow users="myusername" />
<deny users="*" />
</authorization>
</system.web>
</configuration>
Je l'authentification Windows est activée, et je peux vérifier que sans la ligne que mon REMOTE_USER est MYDOMAIN \ myusername. Cependant, lorsque j'essaye de refuser tous les utilisateurs, je suis invité avec le nom d'utilisateur/mot de passe typique du domaine Windows. Si j'entre le mot de passe du nom d'utilisateur, l'invite revient 3 fois jusqu'à me présenter un message d'erreur. (J'ai également essayé de ne rien faire)
En regardant dans la visionneuse d'événements, il semble que mes informations de connexion en utilisant le nom d'utilisateur et pw ont réussi dans l'audit ... et pour plus tard, mon compte n'est pas verrouillé out (ce qui serait le cas si je ne me connectais pas encore et encore). C'est comme si je me connectais, mais la configuration ne voit pas ce que j'ai saisi comme correspondant à mon identifiant.
Ci-dessous le message que je vois (même lors de la connexion du serveur en utilisant localhost):
** L'accès est refusé. Description: Une erreur s'est produite lors de l'accès aux ressources requises pour répondre à cette demande. Le serveur peut ne pas être configuré pour accéder à l'URL demandée.
Message d'erreur 401.2 .: non autorisé: échec de connexion en raison de la configuration du serveur. Vérifiez que vous avez l'autorisation d'afficher ce répertoire ou cette page en fonction des informations d'identification que vous avez fournies et des méthodes d'authentification activées sur le serveur Web. Contactez l'administrateur du serveur Web pour une assistance supplémentaire. **
De plus, il semble que cette approche soit une approche IIS6 pour ASP.NET. IIS7 L'autorisation est un peu différente. Pour celui-là j'ai basé sur des règles, mais ceux-ci semblent ne rien faire. J'ai ajouté un de et cela ne semble pas nier quoi que ce soit. C'est IIS 7.5 en passant. Étrangement, l'icône Règles d'autorisation .NET est sous ASP.NET et semble suivre l'approche IIS6. Peut-être que l'autorisation IIS7 n'est pas configurée ou installée? –
enforge
Il semble que l'autorisation d'URL IIS7 n'est pas installée sur mon système. Au lieu de cela, il y a quelque chose d'autre avec le même nom qui est installé, qui est la version IIS 6 qui fonctionne différemment. Mauvais, vilain Microsoft! Je vais mettre à jour avec une réponse complète si cela conduit à une résolution. – enforge