问题标签 [integrated-security]

我正在开发一个域和非域计算机都将使用的 Intranet MVC3 应用程序。
每个人都有一个域帐户，因此每当非域计算机打开网站时，都会出现一个 Windows 凭据提示输入框。

如果我理解正确，这将是标准的浏览器行为，因为除非它们在同一个域中，否则它们不会将 Windows 凭据传递给网站。
然而问题是，每当我在我的本地主机上调试时，我都与服务器在同一个域中（因为我显然是服务器）。这导致我使用我的工作组 Windows 帐户而不是我的域帐户“登录”。

我正在寻找的是一种触发提示框的方法，这样我就可以使用我的域帐户登录，而不是使用我的工作组帐户获得无用的访问权限。

语境

我在同一域中的两台不同服务器上安装了一个 Oracle 11g 数据库实例和一个 SQL Server 2012 实例。Oracle 数据库配置为接受与集成安全性的连接（即 Active Directory 身份验证）。SQL Server 安装并配置了 Reporting Services 功能。Reporting Services 将使用Microsoft的 Oracle .NET 数据提供程序连接到 Oracle 数据库。

问题

在 Visual Studio 中创建与数据库的数据连接时，使用集成安全性连接到 Oracle 数据库没有问题。我用这个连接字符串配置了连接：

但是，每当我尝试从 SSRS 网站、Report Builder 或 BIDS 在 Reporting Services 中创建数据源时，都会出现登录错误：

我尝试复制完全相同的连接字符串，但结果始终相同。Reporting Services 似乎Integrated Security=True出于未知原因忽略了该选项。

笔记

SQL Server 2008 R2 也会出现同样的问题。

Oracle 的 Oracle .NET 数据提供程序不能与 Reporting Services 一起使用。

我一直在努力寻找 SQL Server 中与安全相关的问题。我们正在开发一个面向 SQL Server 2008 的 .NET 应用程序，并且我们希望使用 FileStream。

现在我发现如果您使用集成安全性，SQL Server 仅允许通过 Win32 API 进行 FileStream。问题是我们已经完成了大约 80% 的应用程序，但它完全基于 SQL 身份验证。所以我们在我们的应用程序中直接执行 INSERT，并且没有为每个 CRUD 操作使用存储过程。

这是相对安全的，因为我可以以加密形式存储 SQL 用户名和密码。我知道密码是以明文形式传输的，但我愿意接受。

我们希望最终用户能够通过 Crystal Reports 等工具连接到数据库，为此我们有一个额外的 SQL 登录名，该登录名仅授予 SELECT 权限。

现在，如果我们更改为集成安全性，我们将不得不授予个人用户（通过 AD 组等）执行应用程序可以执行的操作的权限。否则应用程序将无法完成它的工作。但是，当最终用户直接连接到数据库时，他也将拥有这些权利。

我看到有人说你应该对每个 CRUD 操作使用存储过程，并且只将 EXEC 权限授予 AD 组，但我该怎么做呢？当用户直接或通过应用程序连接时，我看不到用户将如何获得不同的授权......有人可以启发我吗？

一个额外的加分问题：据我了解，集成安全性不适用于工作组。那么人们如何让 FileStream 在工作组中工作呢？或者这被认为是不可能的？

我们的 MVC 3 应用程序托管在 IIS (6) 上，并且禁用了匿名访问并启用了集成 Windows 身份验证，我们似乎遇到了访问问题。
当我导航到根目录 (http://devserver/) 时，应用程序运行良好。如果我尝试导航到子页面 (http://devserver/wtf) 或单击指向子页面的链接，我会收到登录提示。当我输入我的凭据 3 次然后返回 401.2 错误。应用程序设置为在用户未通过身份验证的情况下重定向到登录屏幕。此代码位于所有控制器派生自的基本控制器的 OnActionExecuting 中。导航到子页面时，此方法不会被命中。知道为什么会发生这种情况吗？

认为我尝试过：http: //support.microsoft.com/kb/871179 http://stackoverflow.com/questions/34194/asp-net-mvc-on-iis6

以及 IIS 中的几乎所有安全设置。

我在 ASP.net 应用程序中使用集成安全性，IIS 和 SQL Server 都托管在运行 Windows Server 2008 R2 的同一台服务器上。

是否可以允许用户通过网络访问应用程序并登录用户，但不允许他们直接或通过 SQL Server Management Studio 访问数据库？

我正在尝试保护数据库访问，因为我的应用程序将部署在客户端的服务器上。

这是我目前正在使用的连接字符串

这是我当前使用的两个连接字符串，一个用于 ASP.net 身份验证，第二个用于我的应用程序。这两个字符串是相同的并且属于同一个数据库。

有什么建议么？

我目前在 Windows Server 2008 上运行 Java Spring 服务的 Tomcat 7。Tomcat 在有权访问我们的 SQL Server 数据库的 Windows 帐户下运行。我们使用具有集成安全性的 Microsoft SQL JDBC 4 (sqljdbc4.jar) 来访问 SQL Server 数据库（始终使用 Tomcat 帐户）。

我正在尝试在 linux 服务器（Ubuntu 服务器）上设置相同的进程。我知道 sqljdbc4.jar 允许通过纯 Java Kerberos 直接使用 Windows 活动的 SSO。但是，我可以找到的小文档显示了对客户端进行访问的身份验证。

我们的服务用于不属于我们活动目录（网站和 iOS 应用程序）的移动客户端。是否可以使用带有 sqljdbc4 的纯 Java Kerberos 和 tomcat 用户（通过我们的 Active Directory 进行身份验证的 Linux 用户）而不是客户端？

任何帮助表示赞赏。

我正在使用 Npgsql，我想知道是否有一种方法可以使用自动回退到公共登录的集成安全性连接到 PostgreSQL 服务器？或者也许还有另一种方法可以做我想要实现的目标。

我有一个使用 Windows 身份验证的 ASP.NET 网站 (IIS7.5)，并且我已将 PostgreSQL 配置为允许通过 SSPI 访问，只要数据库中有一个名称正确的角色，它就可以正常工作。该网站可供 Intranet 上的每个人查看，但有些用户有一些其他人不应该具备的额外能力（或可以查看额外数据）。

目前，我正在使用以下内容：

这工作正常，除了每次回退到“www-read”角色时，它都会添加一个关键日志条目，说明存在身份验证错误。我能看到的唯一方法总是通过 www-read 连接并查询是否存在合适的集成安全角色并重新连接，但这似乎比上述更麻烦。

我有一个网站的以下配置：

• 两个 Web 前端（例如机器名称：WFE1 & WFE2） 1 SQ
• 一个 SQL Server 数据库集群（例如机器名称：DBCluster）

所有机器都在同一个域（例如 MyDomain）中运行 Windows 2008 R2 Enterprise 和 SQL Server 2008 R2。

我正在部署一个使用应用程序池标识的 Web 应用程序。我已将池命名为 MyWebApp，它转换为名称 [IIS APPPOOL\MyWebApp]。当我尝试将此用户添加到 SQL Server 时，出现错误：

未找到 Windows NT 用户或组 'IIS APPPOOL\MyWebApp'。再次检查名称。

我用来在 SQL Server 中创建帐户的脚本是：

使用 DEFAULT_DATABASE=[MyDatabase], DEFAULT_LANGUAGE=[us_english] 从 WINDOWS 创建登录 [IIS APPPOOL\MyWebApp] GO

我想问题正在发生，因为 IIS 帐户是 SQL Server 框不可见的本地帐户。

有人可以说明如何解决这个问题吗？使用域帐户是我唯一的选择，还是我仍然可以让应用程序池帐户工作？

当我在 Eclipse 中打开 jdbc 连接时 - 它工作正常。

但是当我创建可执行 jar 文件并运行它时 - 我遇到了 Integrated Security=true 的问题。

或者可能不仅具有集成安全性...

在我前进的过程中，我非常了解 SQL。Visual Studio 使完成基础工作变得非常容易，但现在我想发布一个站点，我需要一些关于 SQL 安全性的建议。

这是我的连接字符串：

如您所见，这不使用集成安全性并在 web.config 文件中公开用户名和密码。我知道这可能不是最好的解决方案，但我不知道是什么。

我有3个问题：

1. 这是生产网站可接受的做法吗？
2. 如何将连接字符串转换为使用集成安全性？
3. 我还需要在服务器上做些什么来确保集成安全性有效？

提前致谢。