Стратегии IIS доступа к защищенным сетевым ресурсам
Я имел точное некоторая проблема и работал вокруг этого путем отключения регистрации аннулирования сертификата сервера IE и перезапуска Outlook. Это имеет смысл мне, так как мы используем сертификат сервера, выпущенный CA, который только доступен на внутренней LAN, для идентификации сервера публично. Поэтому клиенты на LAN могут достигнуть CA и получить информацию об аннулировании, в то время как внешние клиенты не могут.
Путем следования инструкциям (выключающий проверку аннулирования сервера) я смог импортировать календари SharePoint и списки задач с полномочиями записи.
Сделайте все эти сетевые/удаленные ресурсы локальными любой репликацией SQL / Передача журналов, и/или синхронизация файлов (Синхронизирующая Платформа Microsoft является опцией, хотя простота cygwin + rsync является более привлекательной, IMO).
Конечно, все это зависит от того, как часто данные изменяются и/или нужны ли Вам двухсторонняя синхронизация или просто зеркальное отражение.
-
1Об опции " Переместите ресурсы, локальные для веб-сервера/database" я уже сказал что это isn' t отличное решение. Для моего безопасного приложения изображений, например, существуют сотни концертов изображений это просто won' t соответствуют на веб-сервере. Это - действительно неответ. – ErikE 17 April 2010 в 21:50
-
1Это интересно. Это займет время, чтобы переварить его и видеть если there' s что-либо новое. Честно, просто бросок ссылки во мне без любых подсказок относительно того, что точно могло бы быть полезным на той странице, является обескураживающим. – ErikE 17 April 2010 в 21:51
Если Вы предпочитаете не использовать Kerberos, можно исполнить роль пользователя при доступе к ресурсу, использовании их маркера, созданного, когда они аутентифицировались с аутентификацией на основе форм. Это должно использовать сертификат SSL, по крайней мере, во время входа в систему.
-
11) Я don' t часто возражают против Kerberos, но этого isn' t подходящий (клиент doesn' t имеют необходимые права). Когда это, это часто тихо возвращается к состоянию до сбоя к NTLM и очень трудно диагностировать. 2) Аутентификация на основе форм isn' t приемлемый. Мое приложение, непосредственно обрабатывающее people' s пароли пользователя в домене isn' t хорошо, и пользователи can' t быть вынужденным ввести в их пароле каждый раз также. Это также won' t работают с аспектом SQL Server. Я должен смочь использовать интегрированную аутентификацию. 3) Учитывая № 2, SSL прост вне темы. – ErikE 17 April 2010 в 21:42
Я лично предлагаю пройти через аутентификацию и олицетворение .net с использованием уникальной учетной записи домена для каждого приложения. Как вы говорите, это узкое место у администратора домена, но если каждое изменение разрешений на доступ должно проходить через администратора, на самом деле это хорошо.
Предположительно, как только общие ресурсы будут настроены для каждого приложения (часть четко определенного настроить процесс?) они не особо меняются?
Администратор может иметь четко определенный процесс, который нужно пройти, который включает документацию о предоставлении доступа с авторизацией от руководства. Таким образом, все будет надежно и безопасно и очень удобно для внешнего аудита, если вы работаете в нормативной среде.
Предполагая, что у вас нет требований к безопасности для прохождения аутентификации от внешнего интерфейса к внутренним ресурсам, я бы поискал способы получить сетевые ресурсы, к которым это приложение должно получить доступ через один корень безопасности. Что-то вроде общего ресурса DFS может быть идеальным для этого.
Во-вторых, я бы назначил безопасность группе безопасности AD, а не отдельной учетной записи службы или компьютеру.
Оттуда я, вероятно, использовал бы учетные записи служб и имена компьютеров, поскольку они имеют смысл. Например, вы можете просто добавить учетную запись службы сервера базы данных (DOMAIN / MACHINENAME $) в группу, но если у вас есть кластер серверов веб-приложений, вы должны использовать общую учетную запись службы.