Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Client (WIN) -> ASP (WIN) -> Oracle (on WIN). delegation?  [new]
Ovl
Member

Откуда: Санкт-Петербург
Сообщений: 22
Опишу систему.

Пользователь со своего локального компьютера обращается к веб сервису, находящемуся на win2к3.
На веб сервисе происходит имперсонализация, после чего он (веб-сервис) пытается зайти на oracle под именем пользователя (с помощью аутентификацией домена).

Тема достаточно описанная и обсуждавщаяся. Но вот вопрос мой связан немного не с этим.

Все компьютеры находятся под управлением виндоуз. клиент (любой >= 2000, например XP), делегирующий компьютер 2003, третий компьютер (oracle) - 2000. Назовем их 1,2 и 3

Допустим пользователь имеет логин PM\Test.
Соответственно, в оракле создается логин PM\TEST.

Тестируем.

1) 1->3
sqlplus /@oracletnsname - success

2) заходим под пользователем на 2, пытаемся выполнить коннект
sqlplus /@oracletnsname - success

3) теперь пробуем связку 1->2->3. Веб-сервис работает с такими вот настройками


<authentication mode="Windows"/>
<identity impersonate="true"/>
<authorization>
<deny users="?"/>
<!-- deny anonymous users -->
</authorization>

к сожалению получаем invalid login/password.

Для тестирования, что сервер может выполнить делегацию делается ещё одна проверка - на третьем компьютере стоит кроме оракла mssql. и веб-сервис успешно соединяется с ним под доменным пользователем (без аутентификации).

4) решил посмотреть, кто стучится на оракле, если запрос приходит от веб-сервиса. и вижу в network\ADMIN\listener.ora, что приходит пользователь Test, хотя я ожидал PM\Test. То есть - домен утерян.

5) решил посмотреть, кто стучится на оракле, если запрос приходит от клиента напрямую. и вижу в network\ADMIN\listener.ora, что опять приходит пользователь Test. И доступ пользователь получает. Почему фокус не проходит с веб-сервисом - не понимаю.

6) решил посмотреть на свойства провайдера на компьютере с веб-сервисом. По-моему там все в порядке, потому что с него на оракл я тоже получаю доступ используя sqlplus /@oracletnsname

Повторяю, что аутентификация работает, но напрямую. Либо как-то теряется долько домен при передаче через веб сервис, либо я что-то не проверил, не посмотрел.

Если кто-то сможет подсказать куда посмотреть ещё чтобы локализовать проблему - буду очень благодарен.
20 апр 07, 12:21    [4047756]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить