Имейте в виду, что на рисунках 22.14 и 22.15 показано одно и то же диалоговое окно (свойства компьютера, который нужно конфигурировать через оснастку Active Directory Users and Computers). В первом случае (рис. 22.14) конфигурируется Windows Server 2003 для запуска домена Active Directory на функциональном уровне Windows Server 2003; во втором случае (рис. 22.15) домен конфигурируется для функционального уровня Windows 2000 (что является конфигурацией по умолчанию).
Этими установками вы в основном специфицируете возможности мандатов, которые выдает KDC (являющийся контролером домена). Если мандаты не будут оснащаться такими возможностями, делегирование не разрешено и вообще невозможно. После того, как вы настроите эти установки, вам не придется выполнять никаких дополнительных шагов. Просто настройте IIS для интегрированной Windows-аутентификации и разрешите заимствование прав в своем Web-приложении ASP.NET, как будет показано в следующем разделе. Подробнее о конфигурировании и решении проблем с делегированием можно прочитать на Web-сайте Microsoft по адресу: http://www.microsoft.com/downloads/details.aspx? FamilyID=7dfeb015-6043-47db-8238-dc7af89c93fl&displaylang=en.
Внимание! Мы не советуем использовать заимствование прав или делегирование, если только они действительно являются необходимыми. Применяя заимствование прав или делегирование, вы включает передачу клиентской личности пользователя с переднего плана на задний. А на заднем плане все ACL-списки и установки авторизации уровня операционной системы должны быть корректно сконфигурированы для каждого отдельного пользователя. С ростом числа пользователей такая конфигурация становится все более и более трудной. Небольшая ошибка в конфигурации может привести либо к тому, что приложение не будет работать, либо к появлению (возможно, огромной) бреши в системе безопасности. Подумайте о необходимых дополнительных настройках безопасности! Вместо этого лучше объединяйте пользователей в группы и роли и выполняйте все настройки безопасности на базе ролей и групп. Подробнее о ролях и группах будет сказано в главе 23.
Внимание! Разрешение делегирования для сервера следует выполнять очень осторожно. Тщательно просмотрите все приложения, запущенные на таком сервере, поскольку злонамеренные приложения могут открыть дорогу атакам типа отказа в обслуживании. Представьте себе, что такое приложение (или часть приложения, которое не было проверено) запущено на сервере и выполняет некоторые "нелегальные" действия от имени личности пользователя с заимствованием прав или делегированием. Приложениям (а, следовательно, и серверам) можно разрешать делегирование, только когда оно действительно необходимо, чтобы приложения, запущенные на таких серверах, не могли выполнять никаких "нелегальных" вещей от имени других пользователей.
Простейшая форма заимствования прав — конфигурируемое заимствование прав, при котором вы используете файл web.config для определения необходимого вам поведения. Это делается добавлением элемента <identity>, как показано ниже:
предыдущая следующая страница вначало главы оглавление
918