什么是 IIS 7 中的“直通身份验证”？ [关闭]答案

【问题标题】：What is "pass-through authentication" in IIS 7? [closed]什么是 IIS 7 中的“直通身份验证”？ [关闭]
【发布时间】：2023-03-23 04:12:01
【问题描述】：

在 IIS 7 中，指定网站的物理路径并单击“测试设置”按钮后，我收到以下警告：

服务器配置为使用带有内置帐户的直通身份验证来访问指定的物理路径。但是，IIS 管理器无法验证内置帐户是否具有访问权限。确保应用程序池标识对物理路径具有读取权限。如果此服务器已加入域，并且应用程序池标识为 NetworkService 或 LocalSystem，请验证<domain>\<computer_name>$ 具有对物理路径的读取权限。然后再次测试这些设置。

那么什么是直通身份验证？从字面上看，它应该通过一些 B 传递一些 A？那么 A 和 B 是什么？

另外，我实际上使用的是内置的ApplicationPoolIdentity。为什么 IIS 不能验证此帐户是否具有对物理路径的适当访问权限？为什么我需要自己验证？

【问题讨论】：

这是我搜索旅行中出现的第一个问题，但我从stackoverflow.com/questions/15677156/…获得了更好的直通身份验证
至少不要删除臭虫。它的意义超越了“解释什么是变量”

标签： iis

【解决方案1】：

通常，IIS 会使用进程标识（运行工作进程的用户帐户）来访问受保护的资源，如文件系统或网络。

通过透传身份验证，IIS 将在访问受保护资源时尝试使用用户的实际身份。

如果用户未通过身份验证，IIS 将改为使用应用程序池标识。如果池标识设置为 NetworkService 或 LocalSystem，则实际使用的 Windows 帐户是计算机帐户。

您看到的 IIS 警告不是错误，它只是一个警告。实际检查将在执行时执行，如果失败，则会显示在日志中。

【讨论】：

我假设上面提到的用户是在网站上登录的用户。它是否正确？直通身份验证是一种模拟形式吗？
@Ytrog 是的，直通身份验证可以被视为一种模拟形式。 IIS 工作进程正在模拟用户。
“用户的实际身份”是哪个用户？
请求身份验证的 Windows 用户。如果在 IIS 上启用了 Windows 身份验证，它将尝试将浏览器连接身份验证为本地计算机用户帐户或域帐户（如果 IIS 计算机连接到其中一个）。我不记得它会使用的所有选项，但我认为它至少会尝试证书和用户名/密码。如果作为 Windows 用户的请求身份验证成功，则工作进程将以该 Windows 用户的身份运行，以便根据该 Window 用户凭据正确 ACL 任何文件和网络访问。
当涉及到使用直通的虚拟目录时，我无法验证 If the user is not authenticated, IIS will use the application pool identity instead，我认为这是不正确的。