我遇到了Kerberos Double Hop身份验证问题。解决方案是添加适当的SPN,使服务器可以代表用户执行操作并保留用户的凭据。我的问题是我不想使用用户凭据,实际上我希望使用IIS应用程序池上指定的凭据。这可能吗?
也许这个设置是错误的,但让我描述一下。我有一个加入SQL Server的域,以及一个独立的(工作组)IIS服务器。 IIS被保留为工作组,因此可以将其放置在没有DC依赖的隔离DMZ中。我的连接字符串(如下)使用integrated security=True。我在IIS和SQL Server上都创建了一个匹配的本地用户。应用程序池标识是本地IIS用户。同样,在SQL端,我向该本地SQL Server用户授予了有关数据库的适当权限(它是Windows用户,而不是SQL用户)。我测试了连接及其正常工作。
我现在希望添加Windows /基本身份验证以限制对IIS站点的访问,但是我需要用户与IIS标识中定义的用户不同。为此,我在IIS服务器上创建了第二个本地用户...这是即时通讯出现双重跳转的地方。我可以通过IIS进行身份验证,但是得到Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.。
是否可以将IIS配置为使用应用程序池中定义的凭据(用于其SQL连接),而不是通过身份验证的IIS用户?
connection string="data source=ServerNAme;initial catalog=DBName;integrated security=True