ASP.NET 模拟 NT AUTHORITY\IUSR 但模拟被禁用。 ASP.NET 错误?

【问题标题】:ASP.NET impersonates NT AUTHORITY\IUSR but impersonation is disabled. ASP.NET bug?ASP.NET 模拟 NT AUTHORITY\IUSR 但模拟被禁用。 ASP.NET 错误?
【发布时间】:2012-05-18 01:36:44
【问题描述】:

在“ASP.NET v4.0 Classic”应用程序池中,我有一个在 Windows 7 / IIS 7.5 上运行的 ASP.NET 4.0 应用程序,该应用程序配置为作为网络服务运行。该应用程序有一个连接到本地 SQL Server 实例的Application_EndRequest 处理程序。 SQL 连接字符串指定Integrated Security=SSPI。 Web.config 没有<identity impersonate="true" />

当我浏览到http://localhost/TestSite/时,抛出以下异常:

System.Data.SqlClient.SqlException (0x80131904): Login failed for user 'NT AUTHORITY\IUSR'.
   ...
   at System.Data.SqlClient.SqlConnection.Open()
   at Global.Application_EndRequest(Object sender, EventArgs e)

当我浏览到http://localhost/TestSite/default.aspx(IIS 中配置的默认文档)或任何其他 .aspx 页面时,不会抛出此异常;在这些情况下,应用程序作为“NT AUTHORITY\NETWORK SERVICE”正确连接到 SQL Server,这是一个有效的登录。

即使禁用了模拟,为什么 ASP.NET 会在 EndRequest 中模拟“NT AUTHORITY\IUSR”?这是 ASP.NET 中的错误吗?

以下 Global.asax.cs 文件演示了该问题:

public class Global : HttpApplication
{
    public Global()
    {
        this.BeginRequest += delegate { Log("BeginRequest"); };
        this.PreRequestHandlerExecute += delegate { Log("PreRequestHandlerExecute"); };
        this.PostRequestHandlerExecute += delegate { Log("PostRequestHandlerExecute"); };
        this.EndRequest += delegate { Log("EndRequest"); };
    }

    protected void Application_EndRequest(Object sender, EventArgs e)
    {
        try
        {
            using (SqlConnection connection = new SqlConnection("Server=.;Integrated Security=SSPI"))
            {
                connection.Open();
            }
        }
        catch (Exception ex)
        {
            Trace.WriteLine(ex);
        }
    }

    private static void Log(string eventName)
    {
        HttpContext context = HttpContext.Current;
        Type impersonationContextType = typeof(HttpContext).Assembly.GetType("System.Web.ImpersonationContext", true);
        Trace.WriteLine(string.Format("ThreadId={0} {1} {2} Impersonating={3}",
            Thread.CurrentThread.ManagedThreadId,
            context.Request.Url,
            eventName,
            impersonationContextType.InvokeMember("CurrentThreadTokenExists", BindingFlags.NonPublic | BindingFlags.Static | BindingFlags.GetProperty, null, context, null)));
    }
}

这是跟踪输出:

ThreadId=3 http://localhost/TestSite/ BeginRequest Impersonating=False
ThreadId=3 http://localhost/TestSite/ PreRequestHandlerExecute Impersonating=False
ThreadId=7 http://localhost/TestSite/default.aspx BeginRequest Impersonating=False
ThreadId=7 http://localhost/TestSite/default.aspx PreRequestHandlerExecute Impersonating=False
ThreadId=7 http://localhost/TestSite/default.aspx PostRequestHandlerExecute Impersonating=False
ThreadId=7 http://localhost/TestSite/default.aspx EndRequest Impersonating=False
ThreadId=7 http://localhost/TestSite/ PostRequestHandlerExecute Impersonating=True
ThreadId=7 http://localhost/TestSite/ EndRequest Impersonating=True
System.Data.SqlClient.SqlException (0x80131904): Login failed for user 'NT AUTHORITY\IUSR'.
   ...
   at System.Data.SqlClient.SqlConnection.Open()
   at Global.Application_EndRequest(Object sender, EventArgs e)

请注意,对TestSite/(映射到DefaultHttpHandler)的请求似乎产生了对TestSite/default.aspx(映射到ASP.default_aspx)的嵌套请求。 ASP.NET 处理完TestSite/default.aspx 后,它会在继续处理对TestSite/ 的请求时模拟“NT AUTHORITY\IUSR”。

更新:我已将此问题提交给Microsoft Connect

【问题讨论】:

标签: asp.net sql-server iis impersonation


【解决方案1】:

您的服务器、站点或应用程序的设置很可能已设置为“匿名身份验证”模式导致页面请求作为 IUSR 用户进行处理。您的应用程序不请求模拟并不重要; IIS 正在强制它。 (顺便说一句,“模拟”是 Windows 领域的通用术语,用于假设另一个用户的凭据。它不是特定于 ASP.NET。)

一点背景知识:

出于安全原因,IIS 允许您的服务器在不同的系统凭据下处理“匿名”和“经过身份验证”的请求。

现在,在 IIS 7.5 中,如果您同时启用了匿名身份验证和 Forms 身份验证(这是典型的),在您的网站用户通过 Forms 登录之前,它会认为您的用户是“匿名的”。在您的用户使用 Forms Auth 登录后,它会认为您的用户“已通过身份验证”。

起初我发现这种行为令人困惑,因为它是 IIS 6.0 的一个变化,它不知道 Forms 身份验证,并认为所有 Forms-Authenticated 用户都是匿名的!

如果需要,您可以更改提交匿名请求的身份。我的偏好(听起来也像您的偏好)是它们在与我网站的应用程序池相同的系统凭据下运行。 要使 IIS 做到这一点,请执行以下操作:

  1. 打开 IIS 管理器 (inetmgr)
  2. 在“连接”面板中,向下钻取到您网站的节点并选择它
  3. 在右侧面板的“IIS”组下,双击“身份验证”图标。
  4. 右键单击“匿名身​​份验证”并从上下文菜单中选择“编辑...”。
  5. 在弹出对话框中,选择“应用程序池标识”单选按钮。
  6. 点击确定。

第 5 步起初也让我感到困惑,因为我认为“应用程序池标识”意味着“应用程序池伪帐户”(IIS 7.5 中的另一个新功能)。当然,它的真正含义是“应用程序池配置为在同一帐户下运行,不管是什么。”

如果您希望该服务器上的所有网站默认使用此行为,甚至只是特定网站下的单个应用程序,您也可以在这些级别配置身份验证选项。只需在 Connections 窗格中选择您要配置的节点,然后重复步骤 3-6。

【讨论】:

  • 这并没有解释为什么 .aspx 请求从头到尾被处理为 NETWORK SERVICE,而默认文档请求在请求生命周期的第一部分被处理为 NETWORK SERVICE,而在第二部分被处理为 IUSR .
  • 这是否解释了为什么我必须将“IIS AppPool\”和“NT AUTHORITY\IUSR”安全登录名添加到我的数据库中?
  • 如果可以的话,我会多次投票。我现在终于可以睡觉了。谢谢。
【解决方案2】:

即使应用程序(可能)未使用模拟,为什么应用程序仍会尝试以“NT AUTHORITY\IUSR”身份登录?

如果你这样做

<identity impersonate="true"/>

它将模拟登录用户

如果你这样做

<identity impersonate="true" userName="contoso\Jane" password="pass"/>

它将模拟上面设置的用户。

但是,如果您根本不模拟并使用 Windows 身份验证,那么使用默认系统帐户是有意义的。

我不知道为什么它第一次尝试为 IUSR,然后在后续请求中自动切换到 NETWORK SERVICE。但我确实知道,当您从一台服务器跳转到另一台服务器时,不会使用应用程序池凭据。除非您设置如下所示的模拟用户,否则 NETWORK SERVICE 是用于在服务器外部获取资源的默认帐户。

    <connectionStrings>
        <add name="myConnectionString" connectionString="Data Source=MyServerName;Initial Catalog=MyDataBaseName;Integrated Security=True;"
          providerName="System.Data.SqlClient" />
      </connectionStrings>

<identity impersonate="true" userName="contoso\Jane" password="pass"/>

【讨论】:

  • IIS 和 SQL Server 都在我的开发机器上运行。
猜你喜欢
  • 2010-11-19
  • 2010-09-19
  • 2010-09-29
  • 1970-01-01
  • 2015-01-24
  • 2017-12-10
  • 2011-02-09
  • 2014-02-21
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode