Здравствуйте, ekleiman, Вы писали:

E>Извините, отвечаю сам себе. Уже после посылки вопроса догадался заглянуть в цитируемую статью Керчера. Там после слова олицетворение дается термин из оригинала — impersonation. Но последнее означает подражание, а также
E> to be the impersonation of smth — быть воплощением чего-либо (согласно Lingvo online). Так что возможно, не совсем удачный перевод. Впрочем, не берусь судить.
Перевод олицетворение — impersonation используется во всех переводах статей MSDN

Здравствуйте, Аноним, Вы писали:

А>Доброго времени суток!

А>Читая теорию про безопасность, олицетворения и делегирования, совсем запутался. Последнее, что прочел — здесь. Но не могу понять как все это работает.

А>Например, есть веб-приложение. Ставлю его под IIS. При вызове веб-приложения значение WindowsIdentity.GetCurrent().Name равно "имя_компьютера\ASPNET". Вопрос: как можно изменить WindowsIdentity? Если это невозможно, то как сделать по-другому?

А>Может есть пример, который наглядно покажет каким образом, например, IIS получает доступ к базе данных SQL Server'а, которая работает под другим именем? Только пожалуйста без теории, голова уже не варит.

А>Спасибо.

Для ASP.NET существует механизм имперсонации (олицетворения, impersonation). По умолчанию он выключен. При этом весь ASP.Net код выполняется от имени учетной записи процесса asnet_wp.exe (рассматриваем вариант WinXP+IIS5.1, для Win2003 все по другому). Это можно увидеть запустив Windows Task Manager (Ctrl+Shift+Esc) и найти там процесс aspnet_wp.exe По умолчанию он выполняется от имени локальной учетной записи ASPNET. Можно использовать другую учетную запись. Это настраивается в файле mashine.config в ключе <processModel> атрибуты userName и password. В самом mashine.config подробно написано что в эти атрибуты можно писать.
Как включить имперсонацию?
Для ASP.NET приложения имперсонация включается добавлением в web.config приложения строки
<identity impersonate="true" />
При этом сам рабочий процесс aspnet_wp.exe продолжает исполняться от имени учетной записи указанной в в файле mashine.config в ключе <processModel>, а вот поток в котором обрабатывается web запрос будет исполняться от имени пользователя, который отправил запрос. При этом если в приложении используется не windows авторизация то это будет локальная учетная запись IUSR_ИМЯМАШИНЫ. Ее впрочем тоже можно изменить в окне свойств web папки IIS-а (вкладка Directory Security).
Если в web.config мы указываем
<identity impersonate="true" name="domain\username" password="password"/>то в отличие от предыдущего варианта, все запросы будут обрабатываться от имени указанной учетной записи.

На что влияет имперсонация?
Очень на многое. Если у вас есть код который обращается к базам данных, файлам и каталогам, сетевым ресурсам, Active Directory, системному логу сообщений, реестру Windows и т.д. и т.п. Т.е. там где проверяются права доступа. Особенно если ваш код пытается получить доступ к ресурсам, расположенным на других компьютерах. Все перечисленные учетные записи: SYSTEM, ASPNET, IUSER_xxx — являются локальными, и следовательно ваш код не сможет получить доступ к таким ресурсам.

Здравствуйте, mogadanez, Вы писали:

M>Здравствуйте, gaidar, Вы писали:

G>>В web.config пишите:<identity impersonate="true" name="my_domain\my_username" password="my_password"/>После этого ASP.NET игнорирует вашу учетную запись (например гостевая запись пользователя из Интеренет) и использует учетную запись my_username, так, как будто бы это вы вошли под этой учетной записью. Т.е. ASP.NET выполняет аутентификацию в системе за вас и получает привилегии учетной записи, указанной в конфигурации.

M>а это поможет если нужно общаться с третьим сервером?
M>например если БД стоит на удаленном сервере, то обычная имперсонация не поможет, обращение к БД будет все равно от учетной записи ASPNET

Поможет. Если в строке соединения будет "Trusted_Connection=True", если "my_domain\my_username" действительно учетная запись доменного пользоватя, если сервер БД и учетная запись в одном домене или их домены в трастовых отношениях, если на SQL сервере включена windows аутентификация
Иначе надо прописывать имя пользователя и пароль в строке соединения и исползовать SQL аутентификацию на сервере.