Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
Всем привет.
Есть проблема - не получается подключиться к SQL серверу из клиентского приложения сквозно, если на SQL сервере в именах входа заведен не сам пользователь, а группа из Active Directory (пользователь-клиент конечно в этой группе присутствует). Если завожу отдельно имя входа из домена, то все ОК.... Проблема где-то видимо кроется в связке IIS и SQL-сервера...
Может кто-то сталкивался.....
Заренне, благодарен...
12 мар 13, 17:03    [14041565]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
Никто не знает?????
13 мар 13, 05:45    [14043221]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
Santa89
Member

Откуда:
Сообщений: 1526
учетка IISUSER (не помню точно как называется - это учетка IIS сервера) - на сервере заведена?
13 мар 13, 05:48    [14043224]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
Santa89
Member

Откуда:
Сообщений: 1526
http://msdn.microsoft.com/ru-ru/library/gg492140(v=sql.110).aspx#bkmk_overview
может это и не то - но эта фишка помогла мне подключится через IIS сервер удаленно к SSAS
13 мар 13, 05:50    [14043227]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
Santa89, спасибо, но немного не то.
Смотрите, авторизация нормально проходит, если на SQL севере заведен логин из домена (Active Directory). На IIS включена провеврка подлинности Windows. Все хорошо, НО как только я на SQL-сервере добавляю в логины группу пользователей из Active Directory, я не могу залогиниться в приложение, пишет, что Пользователь Домен/Имя пользователя не имее имени входа и т.п...
13 мар 13, 11:09    [14044054]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
RAMZEZ II
пишет, что Пользователь Домен/Имя пользователя не имее имени входа и т.п...


Можно привести полное сообщение об ошибке с номером, северити и левелом?
13 мар 13, 11:37    [14044281]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31994
RAMZEZ II
Все хорошо, НО как только я на SQL-сервере добавляю в логины группу пользователей из Active Directory, я не могу залогиниться в приложение, пишет, что Пользователь Домен/Имя пользователя не имее имени входа и т.п...
Вы не можете или из IIS не коннектится?

Вы попробуйте законнектиться из SSMS. Если не получится, скопируйте сюда сообщение об ошибке.
13 мар 13, 11:59    [14044443]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31994
alexeyvg
RAMZEZ II
Все хорошо, НО как только я на SQL-сервере добавляю в логины группу пользователей из Active Directory, я не могу залогиниться в приложение, пишет, что Пользователь Домен/Имя пользователя не имее имени входа и т.п...
Вы не можете или из IIS не коннектится?

Вы попробуйте законнектиться из SSMS. Если не получится, скопируйте сюда сообщение об ошибке.
Да, и в логах сиквела пишется о неудачных коннектах, посмотрите.
13 мар 13, 12:00    [14044456]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
pkarklin,

"Указанное имя пользователя (Домен/Имя пользователя) не является именем входа, роли или псевдонимом имени входа"
Все правильно, на SQL нет Домен/Имя пользователя, а есть Домен/Группа, в которую входит Домен/Имя пользователя
13 мар 13, 12:25    [14044605]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
alexeyvg, в SSMS все отлично заходит...и из ODBC тоже....
Проблема блин где-то в IIS
13 мар 13, 12:26    [14044611]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
komrad
Member

Откуда:
Сообщений: 5764
RAMZEZ II
alexeyvg, в SSMS все отлично заходит...и из ODBC тоже....
Проблема блин где-то в IIS

похоже на kerberos delegation

+ покажи вот это:

exec xp_logininfo 'ад-группа','members'
exec xp_logininfo 'ад-пользователь'   /*когда логина нет, а группа есть*/
13 мар 13, 20:54    [14044672]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
RAMZEZ II
Проблема блин где-то в IIS


Требования к настройке Security Account Delegation выполнены?
13 мар 13, 21:13    [14044712]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
Cмотрите, сервер SQL и сервер IIS - разные и в одном домене. В Active Directory на сервере IIS выставлено делегирование Kerberos.
14 мар 13, 01:54    [14045415]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
komrad,
exec xp_logininfo 'Домен/группа','members'

account name type priviledge mapped loginname permission path
=========== =====================================
Домен/пол-ль1 user user Домен/пол-ль1 Домен/группа
................... ....... ....... ......................... .......................
и т.д. все пользователи в группе

exec xp_logininfo 'Домен/пол-ль' /*когда логина нет, а группа есть*/
=========== =====================================
Домен/пол-ль user user Домен/пол-ль Домен/группа
14 мар 13, 02:35    [14045454]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
komrad
Member

Откуда:
Сообщений: 5764
RAMZEZ II
pkarklin,

"Указанное имя пользователя (Домен/Имя пользователя) не является именем входа, роли или псевдонимом имени входа"
Все правильно, на SQL нет Домен/Имя пользователя, а есть Домен/Группа, в которую входит Домен/Имя пользователя


покажи скриншот ошибки из лога сиквела
14 мар 13, 10:32    [14046114]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
komrad, будешь смеяться - в логах SQL-сервера нет сообщения об ошибке....Ваще мистика.....
14 мар 13, 10:42    [14046176]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
komrad
Member

Откуда:
Сообщений: 5764
RAMZEZ II,
проверь уровень логирования в сиквеле - Login Auditing в свойствах сервера закладка Security

а откуда текст ошибки взял?
14 мар 13, 10:51    [14046220]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
komrad, ошибку увидел из клиента.
Проверю настройку и скину скрин...
14 мар 13, 16:24    [14048527]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
RAMZEZ II
Member

Откуда: Приморье
Сообщений: 535
komrad, разобрался.... Мой косяк. При авторизации в на клиенте (в браузере) вызывает хранимая пр-ра, которая вызывает процедуру sp_helpuser 'Домен\Пользователь', вот она и ругается..... :) Блин!!!!
15 мар 13, 08:01    [14050574]     Ответить | Цитировать Сообщить модератору
 Re: IIS и Windows-аутентификация из группы AD  [new]
komrad
Member

Откуда:
Сообщений: 5764
RAMZEZ II
:) Блин!!!!

ну хорошо, тогда с Масленицей!
15 мар 13, 10:38    [14051265]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить