Megosztás a következőn keresztül:

Windows-hitelesítés engedélyezése Windows Azure Pack: Webhelyek esetében

  • Cikk

 

Érintett kiadások: Windows Azure Pack

Windows Azure Pack: A webhelyek támogatják a webhelyek és az Active Directory integrációját a hitelesítéshez. Az alkalmazáskészlet támogatása azt is lehetővé teszi, hogy egy webhely egy megadott identitás alatt fusson, amely az adatbázis-erőforrásokhoz való csatlakozásra szolgál.

Megjegyzés

Az alkalmazáskészlet-identitás funkció jelenleg nem támogatja az összes átmenő forgatókönyvet, és csak adatbázisokkal működik.

Az Active Directory-hitelesítés engedélyezéséhez a következő feltételeknek kell teljesülniük:

  • A webhely-feldolgozói szerepkörök mindegyikének tartományhoz kell csatlakoznia ugyanahhoz az Active Directory-tartományhoz.

  • Miután egy webhelyfelhő csatlakozik egy Active Directory-tartományhoz, csak az ugyanahhoz a tartományhoz tartozó feldolgozók vehetők fel a felhőbe.

Az Active Directory-hitelesítést a felügyeleti portálon vagy PowerShell-parancsokkal engedélyezheti.

Kezelési portál

Az Active Directory-hitelesítés webhelyekkel való integrációjának rendszergazdai engedélyezése

Az Active Directory engedélyezése a felügyeleti portálon keresztül

  1. Nyissa meg a Webhelyfelhő konfigurálása lapot.

  2. Az Általános Gépház szakaszban válasszon az alábbi három lehetőség közül a webhely-Windows hitelesítéshez:

    Beállítás

    Leírás

    Kikapcsolva

    Letiltja Windows hitelesítést a felhőben lévő webhelyeken

    Engedélyezés

    Engedélyezi Windows hitelesítést, hogy a bérlők engedélyezhessék azt a webhelyükön

    Kötelező

    Megköveteli, hogy a felhőben lévő összes webhely Windows hitelesítést használjon

Ha Windows hitelesítés rendszergazdai beállítása Kötelező, a webhelyfelhő összes bérlői webhelye Active Directory-integrációval fog rendelkezni a webhelyein. Ez azt jelenti, hogy a webhely bérlője nem állíthat be nem hitelesített felületet. A Kötelező beállítás biztosítja a webhelyek rendszergazdájának, hogy az összes webhely biztonságos.

Ha Windows hitelesítés rendszergazdai beállítása Engedélyezés, a bérlők eldönthetik, hogy a helyeiket integrálni szeretnék-e az Active Directoryval hitelesítés céljából. Ha az Engedélyezés engedélyezve van, a bérlők módosíthatják a webhelyük egyes lapjait, hogy ne követeljék meg a hitelesítést.

Webhely Active Directory-hitelesítésének bérlői engedélyezése

A bérlők a felügyeleti portál Konfigurálás lapján engedélyezhetik az Active Directory-integrációt a webhelyükön. Az Active Directory-integráció konfigurálása csak akkor engedélyezett, ha a rendszergazda engedélyezte azt azon webhelyfelhő esetében, amelyhez a webhely tartozik. A felhőrendszergazda beállításaitól függően a bérlők letilthatják az Active Directory-integrációt, engedélyezhetik vagy kötelezővé tehetik azt.

Az Active Directory konfigurálása bérlői webhelyhez a bérlői felügyeleti portálon

  1. Nyissa meg a webhely Konfigurálás lapját.

  2. Az Általános szakaszban válasszon az alábbi három lehetőség közül Windows hitelesítéshez:

    Beállítás

    Leírás

    Kikapcsolva

    A webhely Windows hitelesítésének letiltása

    Engedélyezés

    Engedélyezi Windows hitelesítés használatát a webhelyen

    Kötelező

    A teljes webhelynek Windows hitelesítést kell használnia

Ha Windows hitelesítésKötelező értékre van állítva, a hely összes lapja Active Directory-hitelesítéssel védett. A Kötelező beállítás biztosítja, hogy a webhely tulajdonosa ne tiltsa le a hitelesítést, még akkor sem, ha több fejlesztő frissíti ugyanazt a webhelyet.

Ha a Windows-hitelesítésengedélyezve van, a webhelyet az Active Directory védi a hitelesítéshez. A webhelyfejlesztők azonban továbbra is letilthatják a webhely egyes lapjain.

Ha a felhőrendszergazda kötelezőre állította az Active Directory-hitelesítést, akkor a bérlő nem tilthatja le a webhelye számára.

Alkalmazáskészlet-identitás rendszergazdai engedélyezése webhelyekhez

Az alkalmazáskészlet-identitások csak akkor engedélyezhetők, ha a webhelyfelhő összes feldolgozója ugyanahhoz az Active Directory-tartományhoz csatlakozik. A rendszergazdák a Webhelyfelhő konfigurálása lapon kezelhetik az alkalmazáskészlet identitásszolgáltatását.

Az alkalmazáskészlet-identitás engedélyezése a felhőfelügyeleti portálon keresztül

  1. Nyissa meg a Webhelyfelhő konfigurálása lapot.

  2. Az Általános Gépház szakaszban engedélyezze azegyéni alkalmazáskészlet-identitást.

Alkalmazáskészlet-identitás bérlői engedélyezése

Az alkalmazáskészlet-identitások csak akkor engedélyezhetők egy webhelyen, ha a webhelyfelhő rendszergazdája engedélyezte az egyéni alkalmazáskészlet-identitások használatát azon webhelyfelhőhöz, amelyhez a webhely tartozik. A bérlők engedélyezhetik az alkalmazáskészlet identitását a webhely felügyeleti portáljának Konfigurálás lapján.

Egyéni alkalmazáskészlet-identitások engedélyezése a bérlői webhely felügyeleti portálján

  1. Nyissa meg a Webhelyfelhő konfigurálása lapot.

  2. Az Általános Gépház szakaszban engedélyezze azegyéni alkalmazáskészlet-identitást.

  3. Adja meg azt a felhasználónevet és jelszót, amellyel a webhelyet futtatni szeretné.

A beállítás befejezése után a webhely használhatja a megadott identitást olyan adatbázisokhoz való csatlakozáshoz, amelyek a felhasználóval azonos tartományban vannak, vagy amelyekhez összevonja őket.

PowerShell

A PowerShell-webwebhelyek modul importálása

Először a szükséges PowerShell-parancsok engedélyezéséhez futtassa a következő parancsot a PowerShell WebSites modul importálásához:

webwebhelyek Import-Module

Webhely létrehozása

Ha még nem rendelkezik webhelytel, létrehozhat egyet az Windows Azure Pack: Webhelyek felügyeleti portálján, vagy használhatja a következő PowerShell-parancsmagot. A példában cserélje le a contoso, az adatum és a contoso.fabrikam.com kifejezést a webhely nevére, az előfizetés azonosítójára és a használni kívánt állomásnévre.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

NTLM Windows-hitelesítés engedélyezése egy Windows Azure Pack-webhelyen

Ha engedélyezni szeretné Windows hitelesítést a webhelyén, futtassa a következő parancsmagot a vezérlőn az Engedélyezés beállítással. A Kötelező beállítás akkor használható, ha zárolni szeretné a hitelesítés konfigurációs szakaszait a hely applicationhost.config fájljában, és meg szeretné akadályoz web.config ni, hogy a hely vagy a hely bármely alkalmazása felülírja azt. Az alábbi példában cserélje le az adatumot az előfizetés azonosítójára, a contoso helyére pedig a webhely nevét.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Kötelező}

Kerberos-Windows-hitelesítés engedélyezése Windows Azure Pack-webhelyen

A Kerberos engedélyezése egy Windows Azure Pack-webhelyen a következőket foglalja magában:

  1. Adja ki az NTLM-alapú Windows-hitelesítés engedélyezéséhez használt parancsokat Windows hitelesítés engedélyezéséhez.

  2. Hozzon létre egy tartományi felhasználót a tartománykiszolgálón.

  3. Adjon hozzá egy egyszerű szolgáltatásnevet (SPN) a kerberost támogató hely összes állomásnevének.

  4. Rendelje hozzá a tartományi felhasználót az előfizetés appPool-identitásához.

Ezeket a lépéseket részletesen ismertetjük az alábbiak szerint.

1. Windows hitelesítés engedélyezése

Futtassa az alábbi parancsmagot a vezérlőn az Engedélyezés beállítással. A példában cserélje le az adatumot az előfizetés azonosítójára, a contoso helyére pedig a webhely nevét.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Kötelező}

2. A tartományi kiszolgálón hozzon létre egy tartományi felhasználót

Tartományi felhasználó létrehozásához futtassa a következő parancsot a tartománykiszolgálón. Cserélje le a lowprivilegeduser és a jelszó értékét a környezetének megfelelő értékekre.

net users /add lowprivilegeduserpassword

3. Adjon hozzá egy egyszerű szolgáltatásnevet (SPN) a kerberost támogató hely összes állomásnevének

Ha a Kerberost támogató hely összes állomásnevéhez hozzá szeretne adni egy egyszerű szolgáltatásnevet (SPN), futtassa a következő parancsot a tartománykiszolgálón. Cserélje le a contoso.fabrikam.com, a tartománynevet és a lowprivilegeduser értéket a környezetének megfelelő értékekre.

Setspn -S http/contoso.fabrikam.comlowprivilegedusertartománynév\

4. Az azure pack webhelyvezérlő Windows rendelje hozzá a tartományi felhasználót az alkalmazáskészlethez

Ha hozzá szeretné rendelni a létrehozott tartományi felhasználót az alkalmazáskészlethez, hajtsa végre a következő lépéseket az Windows Azure Pack webhelyvezérlőn. Futtassa az alábbi parancsokat egy új PowerShell-ablakban. Cserélje le az adatum, a contoso, a tartománynév, a lowprivilegeduser és a jelszó értékét a környezetének megfelelő értékekre.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Windows-hitelesítés letiltása egy Windows Azure Pack-webhelyen

Ha le kell tiltania Windows hitelesítést, futtassa a következő PowerShell-parancsot. A példában cserélje le az adatumot az előfizetés azonosítójára, a contoso helyére pedig a webhely nevét.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Integrált SQL-hitelesítés engedélyezése Windows Azure Pack-webhelyen

Az INTEGRÁLT SQL-hitelesítés engedélyezése egy Windows Azure Pack-webhelyen a következő lépésekből áll:

  1. Hozzon létre egy tartományi felhasználót a tartománykiszolgálón.

  2. Adjon tartományi felhasználói engedélyeket az adatbázisnak.

  3. Rendelje hozzá a tartományi felhasználót az előfizetés appPool-identitásához.

Ezeket a lépéseket részletesen ismertetjük az alábbiak szerint.

1. A tartományi kiszolgálón hozzon létre egy tartományi felhasználót

Tartományi felhasználó létrehozásához futtassa a következő parancsot a tartománykiszolgálón. Cserélje le a lowprivilegeduser és a jelszó értékét a környezetének megfelelő értékekre.

net users /add lowprivilegeduserpassword

2. A SQL Server adja meg a tartományi felhasználói adatbázis engedélyeit

Ha engedélyeket szeretne adni a létrehozott tartományi felhasználónak az adatbázishoz, futtassa az alábbi parancsokat a SQL Server. Cserélje le a usersdatabasename, a domainname\lowprivilegeduser és a lowPrivilegedDBUser értéket a környezetének megfelelő értékekre.

usersdatabasename használata;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember "db_datareader", lowPrivilegedDBUser;

3. Az azure pack webhelyvezérlő Windows rendelje hozzá a tartományi felhasználót az alkalmazáskészlethez

Ha hozzá szeretné rendelni a létrehozott tartományi felhasználót az alkalmazáskészlethez, hajtsa végre a következő lépéseket az Windows Azure Pack webhelyvezérlőn. Futtassa az alábbi parancsokat egy új PowerShell-ablakban. Cserélje le az adatum, a contoso, a tartománynév, a lowprivilegeduser és a jelszó értékét a környezetének megfelelő értékekre.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password