Коллеги, помогите разобраться со следующий проблемой:
1. Есть ASP.NET приложение, работает как Isolated, под аккаунтом пользователя, который является администратором
2. Оно вызывает другое COM+ приложением
3. При работе в рамках локальной машины все нормально
4. Пытаемся вынести этот COM+ приложение на другую машину (с помощью proxy), при обращении появляется ошибка Access Denide
5. Особенность в том, что обе машины стоят в новеловской сети, т.е. домена как такового нет
6. В COM+ все необходимые права установлены, на машине заведен ползователь с тем же аккаунтом
Вот ошибка:
Access is denied.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.
Exception Details: System.UnauthorizedAccessException: Access is denied.
The ASP.NET process is not authorized to access the requested resource. For security reasons the default ASP.NET process identity is '{machinename}\ASPNET', which has limited privileges. Consider granting access rights to the resource to the ASP.NET process identity.
To grant ASP.NET write access to a file, right-click the file in Explorer, choose "Properties" and select the Security tab. Click "Add" to add the "{machinename}\ASPNET" user. Highlight the ASP.NET account, and check the Write box in the Allow column.
Source Error:
An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.
--------------------------------------------------------------------------------
Version Information: Microsoft .NET Framework Version:1.0.3705.288; ASP.NET Version:1.0.3705.288
Здравствуйте, AlexeyMityagin, Вы писали:
AM>Коллеги, помогите разобраться со следующий проблемой: AM>1. Есть ASP.NET приложение, работает как Isolated, под аккаунтом пользователя, который является администратором
Очевидно, что есть ошибка в выполнении п.1: Для настройки аккаунта пользователя необходимо редактировать секцию processModel файла machine.config
AM>Version Information: Microsoft .NET Framework Version:1.0.3705.288; ASP.NET AM>Version:1.0.3705.288
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Здравствуйте, TK, Вы писали:
AM>>1. Есть ASP.NET приложение, работает как Isolated, под аккаунтом пользователя, который является администратором
TK>Очевидно, что есть ошибка в выполнении п.1: Для настройки аккаунта пользователя необходимо редактировать секцию processModel файла machine.config
TK>>Очевидно, что есть ошибка в выполнении п.1: Для настройки аккаунта пользователя необходимо редактировать секцию processModel файла machine.config
G>Можно и web.config
Только надо не забыть продублировать эту информацию в machine.config
Здравствуйте, Gollum, Вы писали:
G>Здравствуйте, TK, Вы писали:
AM>>>1. Есть ASP.NET приложение, работает как Isolated, под аккаунтом пользователя, который является администратором
TK>>Очевидно, что есть ошибка в выполнении п.1: Для настройки аккаунта пользователя необходимо редактировать секцию processModel файла machine.config
G>Можно и web.config
Спасибо, обязательно посмотрю. А разве нельзя после выставления флага Isolated пойти в соотвествующий COM+ и указать там пользователя от имени которого будет работать данный процесс??
Здравствуйте, Gollum, Вы писали:
G>Здравствуйте, AlexeyMityagin, Вы писали:
AM>>6. В COM+ все необходимые права установлены, на машине заведен ползователь с тем же аккаунтом
G>Это как — с тем же? Двух одинаковых эккаунтов на двух разных машинах без домена не бывает вроде бы. Разберись повнимательнее с правами.
При отсуствии домена, два эккаунта с одинаковыми пароля считаются идентичнфми. Только вот проблема всегда ли
Здравствуйте, AlexeyMityagin, Вы писали:
AM>При отсуствии домена, два эккаунта с одинаковыми пароля считаются идентичнфми. Только вот проблема всегда ли
Это точно? А я думаю, что нет. Эккаунт же имеет свой уникальный ID и хранится в виде MACHINE_NAME\USER_NAME
По всей Смоленщине нет кокаина — это временный кризис сырья
Здравствуйте, Gollum, Вы писали:
G>>>Можно и web.config
TK>>Только надо не забыть продублировать эту информацию в machine.config
G>А если так?
G><identity impersonate="true" userName="MyUser" password="pass" />
G>Или как в Re[3]: Ошибка вызова NT сервиса из .aspx
Здравствуйте, TK, Вы писали:
TK>Здравствуйте, Gollum, Вы писали:
G>>>>Можно и web.config
TK>>>Только надо не забыть продублировать эту информацию в machine.config
G>>А если так?
G>><identity impersonate="true" userName="MyUser" password="pass" />
G>>Или как в Re[3]: Ошибка вызова NT сервиса из .aspx
Добавил указаную строку, указав логин для местного администратора, получ ошибку:
Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration file appropriately.
Parser Error Message: Could not create Windows user token from the credentials specified in the config file. Error from the operating system 'A required privilege is not held by the client. '
AM>Добавил указаную строку, указав логин для местного администратора, получ ошибку:
AM>Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration file appropriately.
AM>Parser Error Message: Could not create Windows user token from the credentials specified in the config file. Error from the operating system 'A required privilege is not held by the client. '
AM>(
если указать в вебконфиге
<identity impersonate="true">
без имени и пароля, то будет работать от пользователя который задан в IIS в качестве AnonymousAccessUser
Здравствуйте, mogadanez, Вы писали:
AM>>Parser Error Message: Could not create Windows user token from the credentials specified in the config file. Error from the operating system 'A required privilege is not held by the client. '
AM>>:((
M>если указать в вебконфиге M><identity impersonate="true"> M>без имени и пароля, то будет работать от пользователя который задан в IIS в качестве AnonymousAccessUser
Без настроки делегирования это никак не поможет
Ключевое слово Пытаемся вынести этот COM+ приложение на другую машину (с помощью proxy)
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Здравствуйте, AlexeyMityagin, Вы писали:
G>>><identity impersonate="true" userName="MyUser" password="pass" />
G>>>Или как в Re[3]: Ошибка вызова NT сервиса из .aspx
Здравствуйте, TK, Вы писали:
TK>Без настроки делегирования это никак не поможет TK>Ключевое слово Пытаемся вынести этот COM+ приложение на другую машину (с помощью proxy)
Здравствуйте, Gollum, Вы писали:
TK>>Без настроки делегирования это никак не поможет TK>>Ключевое слово Пытаемся вынести этот COM+ приложение на другую машину (с помощью proxy)
G>Делегирования без домена не будет.
следовательно вариант <identity impersonate="true"> не прокатит.
с третьего раз :)
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Тогда получается, надо настроить права у удаленного COM+ объекта чтобы его могли дергать анонимусы... Но это наверное, не есть гут.
Может, написать вебсервис, запустить под специальным эккаунтом, установить его на машину с COM+ и дергать его из вебсервиса?
Или забить на COM+ и написать вебсервис который будет выполнять его функции.
Или как-то вручную авторизовывать.
Здравствуйте, mogadanez, Вы писали:
AM>>Добавил указаную строку, указав логин для местного администратора, получ ошибку:
AM>>Description: An error occurred during the processing of a configuration file required to service this request. Please review the specific error details below and modify your configuration file appropriately.
AM>>Parser Error Message: Could not create Windows user token from the credentials specified in the config file. Error from the operating system 'A required privilege is not held by the client. '
AM>>(
M>если указать в вебконфиге M><identity impersonate="true"> M>без имени и пароля, то будет работать от пользователя который задан в IIS в качестве AnonymousAccessUser
Здравствуйте, AlexeyMityagin, Вы писали:
M>>если указать в вебконфиге M>><identity impersonate="true"> M>>без имени и пароля, то будет работать от пользователя который задан в IIS в качестве AnonymousAccessUser
AM>!!!!! Это было ключевое решение, все заработало.
А теперь стоит попробовать зайти на сайт с третьей машины ;)
Если у Вас нет паранойи, то это еще не значит, что они за Вами не следят.
Здравствуйте, TK, Вы писали:
TK>Здравствуйте, AlexeyMityagin, Вы писали:
M>>>если указать в вебконфиге M>>><identity impersonate="true"> M>>>без имени и пароля, то будет работать от пользователя который задан в IIS в качестве AnonymousAccessUser
AM>>!!!!! Это было ключевое решение, все заработало.
TK>А теперь стоит попробовать зайти на сайт с третьей машины
я в исходной задаче не увидел что без домена сетка....
(
