身份验证、授权和安全通信
有关构建安全的 ASP.NET 应用程序 的起点和完整概述,请参见登陆页面。
总结
通常,使用内置 ASPNET 帐户来运行 ASP.NET Web 应用程序。但是,偶尔也可以使用自定义帐户。本“如何做”介绍如何创建具有最小权限的本地帐户来运行 ASP.NET Web 应用程序。
如何做:创建自定义帐户来运行 ASP.NET
本“如何做”介绍如何创建具有最小权限的本地帐户来运行 ASP.NET 辅助进程 (aspnet_wp.exe) 或用于虚拟目录中的模拟标识。虽然本“如何做”中的过程用于创建本地帐户,但是,其中述及的概念同样适用于域帐户。
ASP.NET 辅助进程标识
安装时为运行 ASP.NET 而创建的默认帐户是具有最小权限的本地帐户,并且是在 machine.config 中指定的(如下所示):
<processModel enable="true" userName="machine" password="AutoGenerate" />
该帐户在“本地用户和组”中被标识为 ASPNET,并且在本地系统机构 (LSA) 中使用增强密码保护。
当需要使用 ASP.NET 进程标识来访问网络资源(如数据库)时,您可以执行下列操作之一:
● 使用域帐户。
● 使用“镜像的”本地帐户(即,在两台计算机上具有相同用户名和密码的帐户)。在以下情况下需要使用这种方法:计算机位于单独的域中,并且域之间没有建立信任关系;或者计算机被防火墙隔开,并且您无法打开进行 NTLM 或 Kerberos 身份验证所需的端口。
最简单的方法是在 Web 服务器上将 ASPNET 帐户的密码更改为已知值,然后在目标计算机上创建名为 ASPNET 且具有相同密码的帐户。在 Web 服务器上,必须先在“本地用户和组”中更改 ASPNET 帐户密码,然后在 machine.config 中将“AutoGenerate”替换为新密码。
<processModel enable="true" userName="machine"
password="YourStrongPassword" />
可以使用本“如何做”中介绍的步骤来创建具有最小权限的本地帐户。
模拟固定标识
可通过在 web.config 中使用以下设置给特定虚拟目录设置固定的标识。
<identity impersonate="true" userName="YourAccount"
password="YourStrongPassword" />
这种方法通常用于以下情况:同一个 Web 服务器上有多个 Web 站点并且需要以不同的标识来运行;例如,在应用程序托管方案中。
本“如何做”介绍如何创建具有最小权限的本地帐户。如果您主要关心管理问题,则可以使用具有最小权限的限制域帐户和增强密码。
备注
在考虑用于运行 ASP.NET 的帐户时,请记住以下事项:
● 默认情况下,ASP.NET 不进行模拟。因此,Web 应用程序进行的任何资源访问均使用 ASP.NET 进程标识。在这种情况下,Windows 资源必须拥有一个访问控制列表 (ACL),它可授予对 ASP.NET 进程帐户的访问权限。
● 如果启用模拟