IIS Windows Authentifizierung für Zugriff auf Netzlaufwerke

Question

Moin zusammen,

ich habe eine Frage bzgl. der Windows Authentifizierung einer Intranet Website. Soweit habe ich die Konfiguration hinbekommen, dass der Windows Benutzer auch auf der Seite angezeigt wird. Das scheint also erstmal zu passen. Was mir jedoch noch nicht gelungen ist, ist der Zugriff mit dem autorisierten Benutzer auf Netzlaufwerke zuzugreifen. Die Berechtigungen sind erteilt d.h. der Benutzer kann über den Windows Explorer auch problemlos auf die Daten zugreifen. Nur irgendwie gelingt mir die Weitergabe der Autorisierung im IIS nicht.

Server und Benutzer sind in der selben Domain!

Idee?

Besten Dank!

Answer 1

Hallo David,

es gibt ziemliche viele mägliche Fallstricke hierbei.

Zum einen muss der User natürlich erstmal korrekt in der Website erkannt werden. Das scheint wohl schon mal so zu sein.

Zum anderen muss der User dann auch weiter durchgereicht werden (Double Hop Problematik, Impersonation, ...). Hierfür musst Du wahrscheinlich entweder Kerberos oder Basic (schlecht, da unsicher, Kennwörter werden unverschlüsselt übertragen) Authentifizierung nutzen. NTLM klappt meistens gar nicht bei Domänen. Bei Kerberos musst Du unter Umständen einiges umkonfigurieren, damit das überhaupt funktioniert.

Einen allgemeingültigen Weg gibt es da leider nicht. Schau dir daher erst mal einige Artikel zu dem Thema an:

• Setting up Kerberos Authentication for a Website in IIS
• http://blogs.technet.Checklist for Double Hop issues {IIS and SQL Server}.aspx
• Things to check when Kerberos authentication fails using IIS/IE…
• ASP.NET Authentication test page
• Kerberos - Constraint Delegation und Double Hop
  (Abschnitt im unteren Teil „IIS 7.5 und Kernel Authentication“)

---

Gruß, Stefan
Microsoft MVP - Visual Developer ASP/ASP.NET
http://www.asp-solutions.de/ - Consulting, Development
http://www.aspnetzone.de/ - ASP.NET Zone, die ASP.NET Community

Answer 2

Hallo Stefan,

besten Dank für die ausführlichen Infos! Über einige bin ich auch schon gestolpert und diverses ausprobiert :-(

Wenn das wirklich so ein Aufwand ist und ggf. bei kleinen Änderungen durch einen Administrator Funktionalitäten nicht mehr gegeben sind, werde ich die Pfade zu entsprechenden Ordnern über einen Service in die Datenbank schreiben. Dann ist der Zugriff mit dem User nicht erforderlich. Schade :-(

Trotzdem besten Dank!!