Authentification Windows dans WCF et IIS pour accéder à une base de données

Question

J'ai un service WCF que je veux utiliser pour accéder à une base de données SQL (via Linq2SQL pour l'instant), mais la sécurité sécurisée dans un environnement IIS actif ne semble pas utiliser les bonnes références - J'ai essayé de suivre les messages liés ici, mais je n'arrive pas à l'obtenir. Je serais vraiment reconnaissant si quelqu'un pouvait repérer mon erreur ...

dans la configuration Endpoint, je l'ai établi pour utiliser BasicHttpBinding, avec la configuration suivante

<basicHttpBinding> 
    <binding name="authHttpBinding"> 
    <security mode="TransportCredentialOnly"> 
     <transport clientCredentialType="Windows"/> 
    </security> 
    </binding> 
</basicHttpBinding> 

J'ai mis la paramètres de System.Web à:

<authentication mode="Windows" /> 
<identity impersonate="true" /> 

sur le serveur IIS, j'ai ajouté une nouvelle AppPool, définissez l'identité de ApplicationPoolIdentity et ManagedPipeLine à intégré. Sur l'application Web actuelle, définie sur mon nouvel AppPool, j'ai défini l'authentification Windows sur "Activé" et essayé ASP.Net Impersonation à la fois activé et désactivé

Lorsque j'essaie d'appeler le service WCF, il s'exécute, mais quand il fait un appel réel à un proc stocké via Linq2SQL (à une base de données sur un serveur distant utilisant Trusted Security), j'obtiens l'erreur suivante: Échec de la connexion pour l'utilisateur 'domaine \ machinename $' - le nom de la machine avec un signe du dollar à la fin

qui me ressemble beaucoup comme je n'ai pas réussi à déléguer l'identité correcte (je peux accéder à la base de données réelle via Management Studio.)

Answer 1

L'accès à votre base de données ne devrait avoir aucun rapport avec vos paramètres de sécurité WCF. Je supprimerais les paramètres de sécurité de votre config de liaison et également le paramètre d'emprunt d'identité dans le system.web. Vous ne devriez pas en avoir besoin.

Vérifiez vos paramètres de chaîne de connexion dans votre configuration et assurez-vous que si vous utilisez la sécurité intégrée de Windows pour accéder à votre base de données que vous avez les autorisations correctes sur votre base de données. IIS tentera de se connecter à votre base de données en utilisant l'identité configurée dans l'apppool, vous devez donc vous assurer que ce compte a accès. Si vous avez un utilisateur nommé, assurez-vous que vos informations d'identification sont correctement définies. ConnectionStrings.com a plusieurs exemples de comment régler ceci correctement.

HTH.

Steve

Answer 2

Oui, c'est possible. Dans ce cas, vous devez vous assurer que votre paramètre de sécurité est défini sur Windows (qui est la valeur par défaut) et assurez-vous que vos services sont amorcés pour l'usurpation d'identité. Vous pouvez le faire par programme ou par déclaration.

Vous devez indiquer à WCF d'autoriser l'emprunt d'identité pour le service/la méthode souhaité en définissant l'attribut ImpersonationOption approprié sur required ou allowed.

[OperationBehavior(Impersonation=ImpersonationOption.Allowed)] 

Parce que vous accédez à des ressources à travers le réseau, vous devez faire en haut que le niveau d'emprunt d'identité est défini à déléguer, se faire passer, à moins que les ressources dont vous avez accès sont locaux. Ceci est défini au niveau du comportement du point de terminaison client.

<clientCredentials> 
     <windows allowedImpersonationLevel="[Impersonation or Delegate]"/> 
</clientCredentials>