Ich habe eine IIS7-Website, die so eingestellt ist, dass sie in einem eigenen Anwendungspool ausgeführt wird. Der Anwendungspool ist wie folgt konfiguriert:
Managed Pipeline Mode: Integrated
Identity: I_siteuser(Konto ist Mitglied von IIS_IUSRS)
Der physische Pfad der Website lautet: d:\websites\testsite\wwwund das Konto I_siteuserverfügt über Änderungsberechtigungen für den Ordner.
Wenn ich die Website so einstelle,Pass-Through-AuthentifizierungIch erhalte eine Sicherheitsfehlermeldung:
HTTP Error 401.3 - Unauthorized
Wenn ich die Site für die Verwendung eines bestimmten Benutzers () konfiguriere, I_siteuserkann ich problemlos Seiten anzeigen und Skripte ausführen.
Ich hatte den Eindruck, dass wenn ichPass-Through-Authentifizierungdann würde die Identität des Anwendungspools verwendet (der in diesem Fall so konfiguriert ist, dass er unter der Identität von ausgeführt wird I_siteuser).
Dies scheint nicht der Fall zu sein und die Identität, unter der die Site ausgeführt wird, ist tatsächlich das integrierte Konto IUSR. Ich habe dies überprüft, indem ich dem Website-Ordner Lese-/Ausführungsrechte für hinzugefügt habe IUSR.
Gibt es eine andere Einstellung, die ich hier übersehe?
Aktualisieren:
Ich habe auf der Site auch Basic Authenticationund aktiviert Windows Authentication, aber dies führt nur dazu, dass Anmeldedialoge angezeigt werden.
Ich sehe auch, dass der Arbeitsprozess für den Anwendungspool unter der Identität I_siteuserim Task-Manager ausgeführt wird.
Antwort1
Ich glaube, Sie verstehen die Pass-Through-Authentifizierung falsch. Wenn die Pass-Through-Authentifizierung aktiviert ist, geschieht eines von zwei Dingen:
Bei der anonymen Authentifizierung muss die für den anonymen Zugriff angegebene Benutzer-ID Zugriff auf den physischen Pfad für die Dateien haben. (Standardmäßig ist dies das integrierte IUSR-Konto, kann aber in der Aktion „Bearbeiten“ für die anonyme Authentifizierung konfiguriert werden.)
Wenn Sie die Authentifizierung aktiviert haben, benötigen die Anmeldeinformationen des authentifizierten Benutzers Zugriff auf den physischen Pfad der Dateien. Die Anwendungspoolidentität benötigt außerdem schreibgeschützten Zugriff auf die Dateien.
Antwort2
Überprüfen Sie die Authentifizierungsmethoden für die Site und stellen Sie sicher, dass die Basis- und/oder LanMan-Authentifizierung aktiviert ist.
JR
Sind in dem Verzeichnis Dateien aus anderen Verzeichnissen enthalten, auf die der Zugriff beschränkt ist? Versuchen Sie auch, der Gruppe IIS_IUSRS Lesezugriff zu gewähren, nicht nur Ihrem I_sitename-Benutzer. Stellen Sie natürlich sicher, dass in den Authentifizierungseinstellungen der Site (oder des virtuellen Verzeichnisses) der anonyme Zugriff aktiviert ist.