Udostępnij za pośrednictwem

tożsamość elementu (ASP.Schemat ustawień netto)

  • Artykuł

[This documentation is for preview only, and is subject to change in later releases. Blank topics are included as placeholders.]

Służy do konfigurowania tożsamości aplikacji sieci Web. Ten element może być deklarowany na dowolnym poziomie w hierarchii pliku konfiguracji.

Uwaga

Przykładowa składnia w tym temacie zawiera hasło do wykazania, w jaki sposób działa składni.W aplikacji firma Microsoft zaleca użycie strategii do bezpiecznych haseł.

<identity impersonate="true|false" 
          userName="domain\username"
          password="<secure password>"/>

Atrybuty i elementy

W poniższych sekcjach opisano atrybuty i elementy podrzędne elementy nadrzędne.

Atrybuty

Atrybut

Opis

Impersonate

Wymagany atrybut.

Określa, czy klient personifikacji jest używana przy każdym żądaniu.

Ten atrybut może być jedną z następujących możliwych wartości.

WartośćOpis
false Określa, że personifikacja klienta nie jest używany.
true Określa, że personifikacja klienta jest używany.

Password

Atrybut opcjonalny.

Określa hasło do użycia, jeśli impersonate atrybut jest true.

Aby uzyskać informacje na temat przechowywania zaszyfrowanych poświadczeń procesów roboczych w rejestrze, zobacz userName atrybut.

userName

Atrybut opcjonalny.

Określa nazwę użytkownika, aby użyć, jeśli impersonate atrybut jest true.

Ten atrybut i password atrybutu są przechowywane w postaci zwykłego tekstu w pliku konfiguracyjnym. Chociaż Microsoft Internet Information Services (IIS) nie przesyłają plików .config w odpowiedzi na żądanie agenta użytkownika, plików .config można odczytać za pomocą innych środków. Na przykład przez uwierzytelnionego użytkownika za pomocą odpowiednich poświadczeń domeny, która zawiera serwer. Ze względów bezpieczeństwa identity atrybut obsługuje przechowywanie zaszyfrowanych userName i password atrybuty w rejestrze. Poświadczenia muszą być w formacie REG_BINARY i zaszyfrowane przez funkcje szyfrowania Microsoft Windows 2000 i interfejsu API ochrony danych (DPAPI) systemu Windows XP.

Aby uzyskać więcej informacji zobacz "Uwagi" i "Przykład" w dalszej części tego tematu.

Elementy podrzędne

Brak.

Elementy nadrzędne

Element

Opis

configuration

Określa element główny w każdym pliku konfiguracyjnym, który jest używany przez aparatu plików wykonywalnych języka wspólnego oraz.NET Framework aplikacji.

system.web

Określa element główny dla aplikacji ASP.Sekcja konfiguracji netto.

Uwagi

Aby zaszyfrować nazwę użytkownika i hasło oraz nazwę użytkownika i hasło są przechowywane w rejestrze, należy ustawić userName i password atrybuty w następujący sposób.

userName="registry:HKLM\Software\AspNetProcess,Name"password="registry:HKLM\Software\AspNetProcess,Pwd"

Część ciągu po słowie kluczowym registry i przed przecinkiem wskazuje nazwę rejestru klucza program ASP.Otwiera netto. Część po przecinku zawiera nazwę wartości jeden ciąg znaków, z której program ASP.NET odczytuje poświadczenia. Przecinek jest wymagany, a poświadczenia muszą być przechowywane w gałęzi rejestru HKLM. Jeśli format konfiguracji jest niepoprawny, ASP.NET nie rozpocznie się proces roboczy i będzie śledzić ścieżkę kodu awarii tworzenie bieżących.

Poświadczenia muszą być w formacie REG_BINARY i wywołania funkcji Windows API CryptProtectData. Można utworzyć zaszyfrowane poświadczenia i przechowywać je w rejestrze z Aspnet_setreg.exe, która korzysta z CryptProtectData do szyfrowania. Aby pobrać narzędzie Aspnet_setreg.exe wraz z kodem źródłowym Microsoft Visual C++ i dokumentacji, przejdź do ASP.NET w sieci Web i wyszukać słowo kluczowe aspnet_setreg.

Należy skonfigurować dostęp do klucza, który jest przechowywane zaszyfrowane poświadczenia, tak aby zapewniony jest dostęp tylko administratorzy i SYSTEM. Ponieważ klucz będzie odczytywany przez ASP.Proces netto jest uruchomiona jako SYSTEM, należy ustawić następujące uprawnienia:

  • Administrators:F

  • SYSTEM:F

  • CREATOR OWNER:F

  • ProcessAccount:R

Zapewnia to dwie linie w celu ochrony danych, w następujący sposób:

  • Uprawnienia ACL wymagają tożsamości, który uzyskuje dostęp do administratora danych.

  • Osoba atakująca musi uruchomić kod na serwerze ( CryptUnprotectData API) do odzyskania poświadczenia dla konta.

Domyślna konfiguracja

Następujące domyślne identity element nie jest jawnie skonfigurowane w pliku Machine.config lub głównego pliku Web.config. Jednakże jest domyślnej konfiguracji, który jest zwracany przez aplikację.

<identity impersonate="false" userName="" password="" />

Informacje o elementach

Program obsługi sekcji konfiguracji

System.Web.Configuration.IdentitySection

Członkowskie konfiguracji

SystemWebSectionGroup.Identity

Lokalizacje konfigurowalne

Machine.config

Web.config na poziomie katalogu głównego

Poziom aplikacji Web.config

Directory–level wirtualnego lub fizycznego Web.config

Wymagania

Microsoft Internet Information Services (IIS) 5.0, 5.1 lub 6.0

.NET Framework w wersji 1.0, 1.1 lub 2.0

Microsoft Visual Studio 2003 lub Visual Studio 2005

Zobacz też

Zadania

How to: Lock ASP.NET Configuration Settings

Informacje

System.Web elementu (ASP.Schemat ustawień netto)

<configuration> Element

System.Configuration

System.Web.Configuration

Koncepcje

ASP.NET Configuration Overview

ASP.NET Server Controls and Browser Capabilities

Securing Configuration

Configuration Inheritance

Inne zasoby

ASP.NET Configuration Files

ASP.NET ustawienia konfiguracji

Ogólne ustawienia konfiguracji (ASP.(NET)

ASP.NET Configuration API