0

0

Web.config system.web identity impersonate IIS模拟身份验证

星降

星降

发布时间:2026-02-19 08:29:03

|

395人浏览过

|

来源于php中文网

原创

identity impersonate="true" 在 iis 上无效,因默认内核模式认证截断客户端身份,需禁用内核模式、启用windows认证、配置kerberos委派,并确保反向代理不剥离认证头。

web.config system.web identity impersonate iis模拟身份验证

为什么 identity impersonate="true" 在 IIS 上没效果

因为 IIS 10+ 默认用 Integrated Windows Authentication + Application Pool Identity,而 impersonate="true" 只对传入的 Windows 身份生效——前提是客户端已成功认证且未被 IIS 中间层截断。

常见错误现象:HttpContext.Current.User.Identity.Name 还是 IIS APPPOOLMyAppPool,不是用户域账号;文件操作仍报“拒绝访问”,哪怕代码里写了 impersonate="true"

  • 确认 IIS 站点启用了 Windows Authentication(不是 Anonymous Authentication
  • 禁用 Kernel-mode authentication:在 IIS 管理器 → 站点 → Windows 身份验证 → 高级设置 → 取消勾选“启用内核模式”
  • web.config 中不能只写 <identity impersonate="true"></identity>,必须配合 <authentication mode="Windows"></authentication>
  • 如果用了反向代理(如 ARR、Nginx),原始 Windows 认证头大概率被剥离,此时 impersonate 失效是必然的

impersonate="true"impersonate="true" userName="..." password="..." 的区别

前者是“委托式模拟”:用客户端传来的身份继续向下调用;后者是“固定账户模拟”:绕过客户端身份,硬编码一个域账户执行后续操作。两者安全模型和适用场景完全不同。

使用场景:impersonate="true" 适合内部 Intranet 应用,要求 Kerberos 约束委派配置;userName/password 方式只适用于测试或极简单场景,生产环境禁用——密码明文写在 web.config 里,且 .NET 会以 LogonType.Batch 登录,无法访问网络资源(如 UNC 路径、SQL Server Windows 身份)。

  • 固定账户方式在 .NET Framework 4.7.2+ 已标记为 obsolete,IIS 会记录警告事件 ID 1309
  • 即使配置成功,File.OpenRead("\servershare ile.txt") 仍可能抛 UnauthorizedAccessException,因模拟后的线程无网络凭据
  • Kerberos 委派必须在域控上为应用池对应计算机账户启用“仅委派给指定服务”,否则模拟到第二跳就失败

ASP.NET Core 还能用 system.web identity impersonate

不能。ASP.NET Core 完全移除了 system.web 段,web.config 对它无效。IIS 只是作为反向代理存在,身份验证由中间件(如 Microsoft.AspNetCore.Authentication.Negotiate)接管。

NewsBang
NewsBang

盛大旗下AI团队推出的智能新闻阅读App

下载

如果你在 ASP.NET Core 项目里看到 web.config 里还留着 <identity impersonate="true"></identity>,它不会报错,但也不会起任何作用——IIS 忽略它,Kestrel 更不认识它。

  • Core 下等效做法是:启用 NegotiateWindowsAuthentication 中间件,再在业务代码中调用 WindowsIdentity.RunImpersonated
  • RunImpersonated 是临时线程级模拟,不改变整个请求上下文的 User,需手动包裹敏感操作
  • IIS 必须开启 Windows Authentication,且 web.config 中的 <aspnetcore></aspnetcore> 段要设 forwardWindowsAuthToken="true",否则 HttpContext.User 为空

模拟后访问 SQL Server 报“登录失败”怎么办

这是最典型的链路断裂:IIS 成功模拟了用户,但 SQL Server 收到的是来自应用服务器的连接,而非原始用户机器——即缺少 Kerberos 信任链,降级为 NTLM 后无法二次委派。

错误信息典型为:Login failed for user 'DOMAINUSER'. Reason: Failed to open the explicitly specified database. 或直接 Error: 18456 状态 58。

  • 检查 SQL Server 是否启用 Windows Authentication 模式(不是仅混合模式)
  • 运行 setspn -L <app-pool-machine-name></app-pool-machine-name>,确认有 HTTP/<site-hostname></site-hostname>MSSQLSvc/<sql-server-fqdn>:<port></port></sql-server-fqdn> 两个 SPN,且归属同一域账户
  • 在域控上为应用服务器计算机账户启用“委派给指定服务”,添加 MSSQLSvc/<sql-server-fqdn>:<port></port></sql-server-fqdn>
  • 避免用 localhost127.0.0.1 连 SQL,这会强制走 NTLM;改用 FQDN,如 sql01.contoso.com

真正麻烦的从来不是配 impersonate 这一行,而是让整个 Windows 身份从浏览器穿过 IIS、跨机器再到 SQL Server,每段都得对得上 SPN、委派策略和协议协商结果。少一个环节,就卡在“看起来配置全对,但就是不行”。

相关文章

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
数据分析工具有哪些
数据分析工具有哪些

数据分析工具有Excel、SQL、Python、R、Tableau、Power BI、SAS、SPSS和MATLAB等。详细介绍:1、Excel,具有强大的计算和数据处理功能;2、SQL,可以进行数据查询、过滤、排序、聚合等操作;3、Python,拥有丰富的数据分析库;4、R,拥有丰富的统计分析库和图形库;5、Tableau,提供了直观易用的用户界面等等。

985

2023.10.12

SQL中distinct的用法
SQL中distinct的用法

SQL中distinct的语法是“SELECT DISTINCT column1, column2,...,FROM table_name;”。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

334

2023.10.27

SQL中months_between使用方法
SQL中months_between使用方法

在SQL中,MONTHS_BETWEEN 是一个常见的函数,用于计算两个日期之间的月份差。想了解更多SQL的相关内容,可以阅读本专题下面的文章。

377

2024.02.23

SQL出现5120错误解决方法
SQL出现5120错误解决方法

SQL Server错误5120是由于没有足够的权限来访问或操作指定的数据库或文件引起的。想了解更多sql错误的相关内容,可以阅读本专题下面的文章。

1738

2024.03.06

sql procedure语法错误解决方法
sql procedure语法错误解决方法

sql procedure语法错误解决办法:1、仔细检查错误消息;2、检查语法规则;3、检查括号和引号;4、检查变量和参数;5、检查关键字和函数;6、逐步调试;7、参考文档和示例。想了解更多语法错误的相关内容,可以阅读本专题下面的文章。

374

2024.03.06

oracle数据库运行sql方法
oracle数据库运行sql方法

运行sql步骤包括:打开sql plus工具并连接到数据库。在提示符下输入sql语句。按enter键运行该语句。查看结果,错误消息或退出sql plus。想了解更多oracle数据库的相关内容,可以阅读本专题下面的文章。

1292

2024.04.07

sql中where的含义
sql中where的含义

sql中where子句用于从表中过滤数据,它基于指定条件选择特定的行。想了解更多where的相关内容,可以阅读本专题下面的文章。

585

2024.04.29

sql中删除表的语句是什么
sql中删除表的语句是什么

sql中用于删除表的语句是drop table。语法为drop table table_name;该语句将永久删除指定表的表和数据。想了解更多sql的相关内容,可以阅读本专题下面的文章。

436

2024.04.29

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

561

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号