在将凭据从
用户传递到IIS然后从IIS传递到
sql时,我遇到了使
Windows身份验证(Kerberos)工作的问题.我已经为
sql设置了SPN,并将
IIS服务器帐户设置为允许委派.
如果我将IIS计算机帐户设置为允许任何服务的委派,它可以工作:
但是,如果我为特定服务设置它,则不会传递凭据,并且我收到有关与匿名用户连接的错误:
正如您所看到的,我正在连接到sql Express实例,并且我已经设置了许多SPN来尝试解决这个问题,但没有任何运气.显然它在允许任何服务时起作用的事实,对我说这个服务列表中缺少其他东西,但我不知道是什么!
对于可能遇到此问题的任何其他人,问题在于使用Kernal模式身份验证,以及应用程序池帐户的域
用户帐户.
内核模式身份验证为IIS SPN执行大部分工作,但是它希望您将系统帐户用于应用程序池标识.如果您使用的是域帐户,则需要为此用户设置HTTP SPN.然后,您将需要在此用户帐户上委派对sql的访问权限,而不是在IIS计算机帐户上,就像通常使用内核模式身份验证一样.
