Discussion :

[zlorg]

Bonjour,

Je suis en architecture 3 tiers et rencontre des problèmes d'accès à mon site web ( VS2008 II7.0 sql server 2008 ).

J'ai crée un groupe d'utilisateurs gr1 avec 2 utilisateurs du domaine ( user1 et user2 ). Au niveau de IIS,

Si j' active l'identification windows et l'emprunt d'identité, j'ai l'erreur suivante :

Echec de l'ouverture de session de l'utilisateur 'AUTORITE NT\ANONYMOUS LOGON'.

Si je désactive l'emprunt d'identité, j'ai l'erreur suivante

Echec de l'ouverture de session utilisateur 'Domaine\NomServeur$'.

Si dans mon groupe gr1, je rajoute comme utilisateur Domaine\NomServeur$ cela fonctionne mais pour tous les utilisateurs !! Donc, en résumé, ou ça fonctionne pour personne ou pour tout le monde, alors que le but est que le site soit accessible à user1 et user2.

Auriez-vous des suggestions à me faire ? Merci

[Bluedeep]

Bonjour,

Je suis en architecture 3 tiers et rencontre des problèmes d'accès à mon site web ( VS2008 II7.0 sql server 2008 ).

J'ai crée un groupe d'utilisateurs gr1 avec 2 utilisateurs du domaine ( user1 et user2 ). Au niveau de IIS,

Si j' active l'identification windows et l'emprunt d'identité, j'ai l'erreur suivante :

C'est normal si tu n'utilises pas l'authentification Kerberos : tu es en situation de "double hope" que l'authentification NTLM ne peut pas gérer. Dit autrement, le contexte d'authentification de ton client arrive bien à IIS mais en authentification NTLM, il ne peut pas être transféré au serveur Sql.

Si je désactive l'emprunt d'identité, j'ai l'erreur suivante

Si dans mon groupe gr1, je rajoute comme utilisateur Domaine\NomServeur$ cela fonctionne mais pour tous les utilisateurs !! Donc, en résumé, ou ça fonctionne pour personne ou pour tout le monde, alors que le but est que le site soit accessible à user1 et user2.

Auriez-vous des suggestions à me faire ? Merci

Passer en authentification Kerberos ou définir au niveau du pool auquel appartient ton application web un utilisateur autorisé pour la connexion au serveur Sql Server.
Au besoin, et à vrai dire c'est préférable, crée un pool d'application spécifique pour ton application web. (sauf si elle est seule sur l'instance IIS en question, auquel cas tu peux donner le compte au pool par défaut).

[zlorg]

BlueDeep,

Merci pour ta réponse. La 2ème solution que tu proposes, le client n'en veut pas ..... quant à l'authentifiaction Kerberos, c'est pour le moins nébuleux pour moi. D'après ce que je sais, ça se fait au niveau du domaine, et là, difficile pour moi d'intervenir sur tout le domaine, vu que l'applicatif ne concerne que quelques personnes. Je vais fouiner cependant.

[Bluedeep]

BlueDeep,

Merci pour ta réponse. La 2ème solution que tu proposes, le client n'en veut pas ..... quant à l'authentifiaction Kerberos, c'est pour le moins nébuleux pour moi..

Cela n'a pas beson d'être limpide pour toi

Tu te contente de faire la demande aux équipes d'exploitation de ton client et tu dis que tu en as besoin. Si le pourquoi relève de ta responsabilité (tu dois expliquer pourquoi tu en as besoin), le "comment le faire" relève de la prod. pas des études (la balle est dans leur camp).

Deux liens sur le sujet :
http://sqldbpool.com/2008/09/05/sql-...authenticatio/

http://blogs.msdn.com/b/sql_protocol...nnections.aspx

Sinon, tape "sql server double hope problem" sur gogol, et tu devrais récupérer pas mal d'infos.

Ceci dit, il faut prendre garde à ne pas confondre ici moyens et objectifs :

Peux tu nous décrire ton objectif en matière de sécurité d'acès ?

En clair si tu as besoin que l'utilisateur soit authentifié pour son accés au site web, as tu réeelement besoin qu'il soit authentifié pour l'accès au serveur Sql ou peux tu te contenter d'un utilisateur "lambda" sur le leg IIS->Sql Server ?

[zlorg]

Peux tu nous décrire ton objectif en matière de sécurité d'acès ?

En clair si tu as besoin que l'utilisateur soit authentifié pour son accés au site web, as tu réeelement besoin qu'il soit authentifié pour l'accès au serveur Sql ou peux tu te contenter d'un utilisateur "lambda" sur le leg IIS->Sql Server ?

L'objectif est d'utiliser l'authentification windows pour accéder au site web, puis que cette authentification 'se propage' pour les accès SLQ Server

[Bluedeep]

L'objectif est d'utiliser l'authentification windows pour accéder au site web, puis que cette authentification 'se propage' pour les accès SLQ Server

Ok, ta réponse est très claire, et il est tout à fait clair que la seule solution ici est l'utilisation de l'authentification Kerberos. (ou alors, si il y en a une autre, j'aimerais la connaitre : pour avoir eu une problèmatique similaire il y a deux ans, on a pas trouvé d'autres solutions).

[zlorg]

Bon, ben, en route vers Kerberos. En tout cas, merci encore pour tes réponses claires, nettes et rapides !!!