ASP.NET Security FAQ: ความปลอดภัยของการ remote ใน domain
-
7 พฤษภาคม 2555 7:42ผู้ดูแลASP.NET Security FAQ: ความปลอดภัยของการ remote ใน domain
Supa Sethasiripong [MSFT]
MSDN Community Support | Feedback to us
Get or Request Code Sample from Microsoft
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
ตอบทั้งหมด
-
7 พฤษภาคม 2555 7:47ผู้ดูแล
การใช้ resource ภายใน domain ขอแนะนำให้ใช้ domain user
โดย identity ของ IIS จะสามารถเปลี่ยนแปลงได้ และต้องทำการขออนุญาตใช้ resource ร่วมกัน
เพราะว่า default identity ของ IIS จะอนุญาตสิทธิ์ในการใช้ domain resource
โดยทั่วไปคือ ASPNET บน Windows Server 2000 และ NETWORK SERVICE บน IIS6 และ Windows Server 2008เมื่อเราต้องการเปลี่ยน identity ของ IIS มี 2 วิธี คือ
1) เปลี่ยน identity ของ application pool ใน IIS โดยตรง
แต่ถ้า domain user กำลังรัน application pool อยู่domain user จะต้องขออนุญาตการใช้สิทธิ์ในการรัน ASP.NET application
โดยใช้ command นี้ในการขออนุญาตใช้สิทธิ์: aspnet_regiis.exe–ga domain/user.แต่ในการขอใช้ร่วมกัน individual application pool จะมี identity ที่แตกต่างกัน
จากนั้น directory บน disk สามารถ ACLd ได้อย่างอิสระกับ application pool identity ที่แตกต่างกัน
ซึ่งทั่วไปการใช้ identity ร่วมกัน เช่น NETWORK SERVICE หรือ IIS_IUSRS สำหรับไฟล์ ACLs จะไม่ดีนักเพราะหมายความว่า อนุญาตให้ ASP.NET application สามารถเข้าถึงโครงสร้างของ directory ของ application อื่นๆ ด้วย
2) การเปิดการใช้งานการเลียนแบบใน web.config
<identityimpersonate="true"userName="domain/user"password="****" />
ซึ่งจะต้องรันคำสั่ง –ga เพื่อขออนุญาตก่อน
Supa Sethasiripong [MSFT]
MSDN Community Support | Feedback to us
Get or Request Code Sample from Microsoft
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
- ทำเครื่องหมายเป็นคำตอบโดย supa_sModerator 8 พฤษภาคม 2555 2:28
