Здравствуйте, juice, Вы писали:

J>Re: Intergrated Security лучше не использовать для доступа к базам данным из под ASP.NET-приложений.

J>Интерессно почему? У меня например другое мнение основанное как на личном опыте, так и на советах администраторов самих баз данных. Учетная запись ASP.NET имеет очень низкие права и привелегии в системе.

Единственный минус такого подхода (но он очень весомый), что в ситуации когда IIS и SQL сервер находятся на разных машинах этот подход в общем нормально не работает, как ни настраивай делегирование и прочее. Легче сделать SQL login.Вперед! Бодхисатва, вперед!

Здравствуйте, Sinclair, Вы писали:

S>Прекрасно работает такой подход. В случае, когда у вас веб приложение работает в домене, не надо пользоваться встроенной записью аспнет или локал сервис. Надо запускать приложение под нарошно созданным доменным пользователем — и никаких проблем не будет.

А DMZ у вас тоже в домене, да?И начальник заставы поймет меня, и беспечный рыбак простит

Здравствуйте, Sinclair, Вы писали:

S>Прекрасно работает такой подход. В случае, когда у вас веб приложение работает в домене, не надо пользоваться встроенной записью аспнет или локал сервис. Надо запускать приложение под нарошно созданным доменным пользователем — и никаких проблем не будет.

+ К тому, при запуске приложения под нарочно созжданным доменным пользователем лично наблюдал такое количество проблем, что не дай бог никому.Самурай без меча подобен самураю с мечом, но только без меча.

Здравствуйте, Sinclair, Вы писали:

G>>+ К тому, при запуске приложения под нарочно созжданным доменным пользователем лично наблюдал такое количество проблем, что не дай бог никому.
S>А можно вкратце описать? Хотелось бы знать, к чему готовиться.

При запуске под доменным эккаунтом стало выкидвать окошки виндовой аутентификации в самые неожиданные моменты — причем достаточно странно, такое впечатление что для каких-то ресурсов у этого эккаунта не было разрешений, хотя вроде куда надо этот эккаунт был прописан. Причем, если пускать из-под локального эккаунта, то то же самое, но реже... В общем я за полдня настроить не смог, отдали админам разбираться что и как. Скорее всего конечно какие-то локальные глюки, т.к. все должно работать, но вот у меня не вышло.Ihesu who hath wonders sore, grants us the blyss of heathen

Здравствуйте, Sinclair, Вы писали:

G>>При запуске под доменным эккаунтом стало выкидвать окошки виндовой аутентификации в самые неожиданные моменты
S>Погоди. Куда серверное веб-приложение вдруг стало выкидывать окошки ?

Вообще, я думал что понятно выразился, но расшифрую: под Network Service всеработало хорошо. При переключении на доменный эккаунт при попытке эксплорером открыть урл, соответствующий веб-приложению стали выскакивать многочисленные виндовые окошки введите логин-пароль.

G>>- причем достаточно странно, такое впечатление что для каких-то ресурсов у этого эккаунта не было разрешений, хотя вроде куда надо этот эккаунт был прописан.
S>Ну, во-первых все это как правило можно точно увидеть в Event Log. Ну то есть типа "SecurityException at... Runnning under account ... impersonating under ...".
S>Во-вторых, имея стек трейс обычно можно локализовать область, в которой расположены недоступные ресурсы. После этого я обычно включаю audit fail for everyone, воспроизвожу и выясняю кто какой именно аксесс пытался запросить и почему ему отказали.

Спасибо конечно что рассказал про ивентлог, но в моем случае в ивент логе ничего не было, а стек трейс не поддавался изучению в виду отсутствий эксепшнов. Диагностика того куда оно пытается лезть была поручена админам, именно с советом включить полный аудит и сказать куда же оно ломится. Задача была не моя, я помогал, насколько я помню в результате забили вообще на это дело потому что разбираться было некогда.

S>Самая частая в нашей практике засада — пронос исключений с сервера при вызове web services. Т.е я смотрю в логи на клиенте — написано Can't find file C:\Windows\Temp\asddf34s.cs.
S>Ага, понятно — XML Serializer пытается создать временный cs, и не хватает прав на темп фолдер. Смотрю в темп фолдер — все в порядке, аккаунту права есть. Смотрю effective permissions — права есть. Включаю аудит — пусто.

Нету исключений никаких.

G>>Причем, если пускать из-под локального эккаунта, то то же самое, но реже... В общем я за полдня настроить не смог, отдали админам разбираться что и как. Скорее всего конечно какие-то локальные глюки, т.к. все должно работать, но вот у меня не вышло.
S>Ясно. Чувствительность ASP.NET к настройкам конфигурации весьма и весьма высока ;)

Но безпроблемного запуска в моем случае не получилось. В общем, не все так гладко как хотелось бы.В лучших книгах всегда нет имен, и в лучших картинах — лиц