Поделиться через


Включение проверки подлинности Windows для Microsoft Azure Pack: Веб-сайты

 

Область применения: Windows Azure Pack

Windows Azure Pack: веб-сайты поддерживают интеграцию веб-сайтов с Active Directory для проверки подлинности. Поддержка пула приложений также позволяет запускать веб-сайт с использованием определенного удостоверения для подключения к ресурсам базы данных.

Примечание

Функция удостоверений пула приложений в настоящее время не поддерживает все переходные сценарии и работает только с базами данных.

Для включения проверки подлинности Active Directory должны выполняться следующие условия:

  • Все рабочие роли веб-сайта должны быть присоединены к одному и тому же домену Active Directory.

  • После подключения облака веб-сайтов к домену Active Directory к этому облаку можно добавить только рабочие роли, которые являются частью этого же домена.

Проверку подлинности Active Directory можно включить с помощью портала управления или команд PowerShell.

Портал управления

Административное включение интеграции проверки подлинности Active Directory со службой веб-сайтов

Включение Active Directory через портал администратора

  1. Откройте вкладку "Настройка облака веб-сайта".

  2. В разделе "Общие Параметры" выберите один из следующих трех вариантов проверки подлинности Windows веб-сайта:

    Параметр

    Описание

    Выключено

    Отключает проверку подлинности Windows для веб-сайтов в облаке

    Разрешить

    Включает проверку подлинности Windows для того, чтобы клиенты могли включить ее на своих веб-сайтах

    Require (Требовать)

    Требует, чтобы все веб-сайты в облаке использовали проверку подлинности Windows

Если для проверка подлинности Windows задано значение Require, все веб-сайты клиента в облаке веб-сайта будут иметь интеграцию Active Directory на своих веб-сайтах. Это означает, что клиент веб-сайта не сможет задать режим работы без проверки подлинности. Параметр "Требовать" предоставляет администраторам веб-сайтов гарантии защиты всех веб-сайтов.

Если для проверка подлинности Windows задано значение "Разрешить", клиенты могут решить, должны ли они интегрировать свои сайты с Active Directory для проверки подлинности. Если разрешено , клиенты могут управлять отдельными страницами на веб-сайте, чтобы не требовать проверки подлинности.

Включение клиентом проверки подлинности Active Directory для веб-сайта

Клиенты могут включить интеграцию Active Directory на вкладке "Настройка " портала управления для своего веб-сайта. Параметр для настройки интеграции с Active Directory становится доступен только в том случае, когда администратор включил его для облака веб-сайтов, к которому принадлежит данный веб-сайт. В зависимости от настроек, сделанных администратором облака, клиенты могут отключить и включить интеграцию с Active Directory, а также сделать ее обязательной.

Настройка Active Directory для веб-сайта клиента на портале управления клиента

  1. Откройте вкладку "Настройка " веб-сайта.

  2. В разделе "Общие" выберите один из следующих трех вариантов проверки подлинности Windows:

    Параметр

    Описание

    Выключено

    Отключает проверку подлинности Windows для веб-сайта

    Разрешить

    Включает проверку подлинности Windows для использования на веб-сайте

    Require (Требовать)

    Требует, чтобы проверка подлинности Windows выполнялась на все веб-сайте

Если для Windows для проверки подлинности задано значение Require, все страницы сайта защищены проверкой подлинности Active Directory. Параметр Require гарантирует, что владелец веб-сайта не может быть отключен, даже если несколько разработчиков обновляют один и тот же веб-сайт.

Если для Windows для проверки подлинности задано значение "Разрешить", веб-сайт защищен Active Directory для проверки подлинности. Однако разработчики веб-сайта все же смогут выключать ее для отдельных страниц веб-сайта.

Если администратор облачной системы установил для проверки подлинности Active Directory значение Require, клиент не может отключить его для своего веб-сайта.

Административное включение удостоверений пула приложений для веб-сайтов

Удостоверения пула приложений можно включить только в том случае, если все рабочие роли в облаке веб-сайтов присоединены к одному и тому же домену Active Directory. Администраторы могут управлять функцией удостоверений пула приложений на вкладке "Настройка облака веб-сайта".

Включение удостоверений пула приложений через портал администратора облака

  1. Откройте вкладку "Настройка облака веб-сайта".

  2. В разделе "Общие Параметры" задайте для настраиваемого удостоверения пула приложенийзначение "Разрешить".

Включение удостоверений пула приложений клиентом

Удостоверения пула приложений можно включить только для веб-сайта, если администратор облака веб-сайтов включил использование удостоверений пула пользовательских приложений для облака веб-сайта, к которому принадлежит веб-сайт. Клиенты могут включить удостоверение пула приложений на вкладке "Настройка " на портале управления веб-сайта.

Включение удостоверений пула пользовательских приложений на портале управления веб-сайта клиента

  1. Откройте вкладку "Настройка облака веб-сайта".

  2. В разделе "Общие Параметры" задайте для настраиваемого удостоверения пула приложенийзначение "Разрешить".

  3. Укажите имя пользователя и пароль, которые будут использоваться для веб-сайта.

По завершении этой настройки веб-сайт сможет использовать удостоверения, предоставленные для подключения к базам данных, которые находятся в том же домене (или в одной федерации с ним), что и пользователь.

PowerShell

Импорт модуля веб-сайтов PowerShell

Во-первых, для включения необходимых команд PowerShell нужно выполнить следующую команду, чтобы импортировать модуль веб-сайтов PowerShell:

веб-сайты Import-Module

Создание веб-сайта

Если у вас еще нет веб-сайта, его можно создать с помощью Windows Azure Pack: портал управления веб-сайтами или с помощью следующего командлета PowerShell. В этом примере замените contoso, adatum и contoso.fabrikam.com именем веб-сайта, идентификатором подписки и именем узла, которое вы будете использовать.

New-WebSitesSite -Name contoso -SubscriptionId adatum -HostNames contoso.fabrikam.com

Включение проверки подлинности Windows NTLM для веб-сайта Microsoft Azure Pack

Чтобы включить проверка подлинности Windows для веб-сайта, выполните следующий командлет на контроллере с помощью параметра "Разрешить". Обязательный параметр можно использовать, если требуется заблокировать разделы конфигурации проверки подлинности в файле applicationhost.config сайта и запретить переопределение файла web.config на сайте или любого приложения на сайте. В следующем примере замените adatum идентификатором подписки и contoso именем веб-сайта.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Обязательный}

Включение проверки подлинности Windows Kerberos для веб-сайта Microsoft Azure Pack

Включение Kerberos для веб-сайта Microsoft Azure Pack состоит из следующих этапов:

  1. Выполните те же команды, чтобы включить проверку подлинности Windows, как и для включения проверки подлинности Windows на основе NTLM.

  2. Создайте пользователя домена на сервере домена.

  3. Добавьте имя субъекта-службы (SPN) для каждого имени узла в сайте, который будет поддерживать протокол Kerberos.

  4. Назначьте пользователей домена удостоверению appPool для вашей подписки.

Далее эти шаги рассматриваются подробно.

1. Включение проверка подлинности Windows

Выполните следующий командлет на контроллере с помощью параметра "Разрешить". В этом примере замените adatum идентификатором подписки и contoso именем веб-сайта.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled {Allow | Обязательный}

2. На сервере домена создайте пользователя домена

Чтобы создать пользователя домена, выполните следующую команду на сервере домена. Замените lowprivilegeduser и пароль значениями, соответствующими вашей среде.

net users /add lowprivilegeduserpassword

3. Добавьте имя субъекта-службы (SPN) для каждого имени узла на сайте, который будет поддерживать Kerberos.

Чтобы добавить имя субъекта-службы (SPN) для каждого имени узла в сайте, который будет поддерживать протокол Kerberos, выполните следующую команду на сервере домена. Замените contoso.fabrikam.com, domainname и lowprivilegeduser значениями, соответствующими вашей среде.

Setspn -S http/contoso.fabrikam.comdomainname\lowprivilegeduser

4. На контроллере веб-сайтов Windows Azure Pack назначьте пользователя домена пулу приложений.

Чтобы назначить созданных пользователей домена пулу приложений, выполните следующие действия на контроллере веб-сайтов Microsoft Azure Pack. В новом окне PowerShell выполните следующие команды. Замените adatum, contoso, domainname, lowprivilegeduser и пароль значениями, соответствующими вашей среде.

Add-PSSnapin WebHostingSnapin
Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password

Отключение проверки подлинности Windows для веб-сайта Microsoft Azure Pack

Если требуется отключить проверку подлинности Windows, выполните следующую команду PowerShell. В этом примере замените adatum идентификатором подписки и contoso именем веб-сайта.

Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso –WindowsAuthEnabled Off

Включение встроенной проверки подлинности SQL для веб-сайта Microsoft Azure Pack

Включение встроенной проверки подлинности SQL для веб-сайта Microsoft Azure Pack состоит из следующих шагов:

  1. Создайте пользователя домена на сервере домена.

  2. Предоставьте пользователю домена разрешения на доступ к базе данных.

  3. Назначьте пользователей домена удостоверению appPool для вашей подписки.

Далее эти шаги рассматриваются подробно.

1. На сервере домена создайте пользователя домена.

Чтобы создать пользователя домена, выполните следующую команду на сервере домена. Замените lowprivilegeduser и пароль значениями, соответствующими вашей среде.

net users /add lowprivilegeduserpassword

2. На SQL Server предоставьте разрешения для базы данных пользователя домена

Чтобы предоставить пользователю домена созданные вами разрешения на доступ к базе данных, выполните следующие команды в SQL Server. Замените usersdatabasename, domainname\lowprivilegeduser и lowPrivilegedDBUser значениями, соответствующими вашей среде.

use usersdatabasename;

CREATE LOGIN [domainname\lowprivilegeduser] FROM WINDOWS;

CREATE USER lowPrivilegedDBUser FOR LOGIN [domainname\lowprivilegeduser];

EXEC sp_addrolemember "db_datareader", lowPrivilegedDBUser;

3. На Windows контроллере веб-сайтов Azure Pack назначьте пользователя домена пулу приложений.

Чтобы назначить созданных пользователей домена пулу приложений, выполните следующие действия на контроллере веб-сайтов Microsoft Azure Pack. В новом окне PowerShell выполните следующие команды. Замените adatum, contoso, domainname, lowprivilegeduser и пароль значениями, соответствующими вашей среде.

Add-PSSnapin WebHostingSnapin Set-WebSitesSiteConfig -SubscriptionId adatum -Name contoso -CustomAppPoolIdentity $true -SiteRuntimeUser domainname\lowprivilegeduser -SiteRuntimeUserPassword password