Поставщик службы проверки подлинности Windows

Visual Studio 2010

Обновлен: Ноябрь 2007

Проверка подлинности Windows рассматривает удостоверение пользователя, поставляемое IIS Microsoft, как пользователя, прошедшего проверку в приложении ASP.NET. IIS предоставляет ряд механизмов проверки подлинности для проверки удостоверения пользователя, включая анонимную проверку подлинности, встроенную проверку подлинности (NTLM) Windows, встроенную проверку подлинности (Kerberos) Windows, обычную (base64) проверку подлинности, дайджест-проверку подлинности и проверку подлинности на основе сертификатов клиента.

Проверка подлинности Windows реализована в ASP.NET с помощью модуля WindowsAuthenticationModule. Модуль создает WindowsIdentity на основе учетных данных, предоставляемых IIS, и устанавливает идентификацию в качестве текущего значения свойства User приложения.

Проверка подлинности Windows является механизмом проверки подлинности по умолчанию для приложений ASP.NET и идентифицируется как режим проверки подлинности для приложения с помощью элемента конфигурации authentication, как показано в следующем примере:

<system.web>
  <authentication mode="Windows"/>
</system.web>

Хотя режим проверки подлинности Windows устанавливает WindowsIdentity в качестве значения текущего свойства User на основе учетных данных, предоставляемых IIS, он не изменяет удостоверения Windows, которое поставляется для операционной системы. Удостоверение Windows, предоставленное для операционной системы, используется для проверки разрешений, например разрешений файлов NTFS, или для подключения к базам данных с использованием встроенной безопасности. По умолчанию это удостоверение Windows является удостоверением процесса ASP.NET. В Microsoft Windows 2000 и Windows XP Professional это удостоверение рабочего процесса ASP.NET, который является локальной учетной записью ASP.NET. В Windows Server 2003 это удостоверение пула приложения IIS, частью которого является приложение ASP.NET. По умолчанию это учетная запись NETWORK SERVICE.

Можно настроить удостоверение Windows приложения ASP.NET в качестве удостоверения Windows, предоставляемого IIS, включив олицетворение. То есть приложению ASP.NET даются инструкции олицетворять удостоверения, предоставляемые IIS, для всех задач, которые проходят проверки подлинности операционной системы Windows, включая доступ к файлам и сетевой доступ.

Чтобы включить олицетворение для веб-приложения, в файле Web.config приложения установите атрибут impersonate элемента identity в значение true, как показано в следующем примере:

<system.web>
  <authentication mode="Windows"/>
  <identity impersonate="true"/>
</system.web>

Дополнительные сведения об удостоверении процесса ASP.NET см. в разделе Настройка удостоверения процесса ASP.NET. Дополнительные сведения об олицетворении см. в описании метода Impersonate.

Можно повысить безопасность приложений ASP.NET, защищая файлы приложений с помощью файловой системы NTFS и списков управления доступом (ACL). Списки управления доступом позволяют указать, какие пользователи и группы пользователей имеют доступ к файлам приложения. Список минимальных обязательных разрешений файлов NTFS, которые необходимы удостоверению Windows для запуска в качестве удостоверения страницы ASP.NET, см. в разделе Обязательные списки управления доступом (ACL) ASP.NET.

907hb5w9.alert_note(ru-ru,VS.100).gifПримечание.

Можно также использовать роли ASP.NET для управления авторизацией пользователей для страниц и разделов веб-приложений. Дополнительные сведения см. в разделе Управление авторизацией с помощью ролей.

Показ: