IIS e utenti

Discussione:

IIS e utenti

(troppo vecchio per rispondere)

Massi

2007-10-19 11:32:43 UTC

Ciao a tutti,
ho un curioso problema, che non ha fatto altro che risvegliare alcuni
miei dubbi :)

Vi spiego:
sistema di test, winXP e iis 5.1 (con php 5.spiccioli, ma non è
importante)

Attivo sul sito web l'autenticazione tramite AD (ma macchina è in
dominio)
Tramite uno script php accedo a dei files in rete su un'altra macchina
in dominio (tramite percorso UNC, diritti di accesso concessi a chi
deve entrare :P)
Ok: dalla macchina locale eseguo lo script come dominio\utente che ha
i diritti sui files remoti: tutto funziona alla perfezione
da un'altra macchina in dominio (dove mi loggo come dominio\utente)
accedo alla pagina web di cui sopra: non funziona. non riesce a
leggere il percorso remoto.

Questo è il mio problema a cui già non so dare soluzione :) ma
soprattutto mi è venuto qualche dubbio sul funzionamento di IIS e la
gestione degli utente che lo "eseguono"
Dunque, l'utente che esegue il pool è l' IWAM_nomemacchina giusto?
l'utente che esegue il sito è l' IUSR_nomemacchina (per l'accesso
anonimo)
cosa cambia fra i 2?
intendo, se attivo l'autenticazione tramite AD e accedo al sito,
l'utente che "sostituisco" è l'iusr, non l'iwam
mentre se nello stesso sito faccio eseguire una whoami, vedo l'utente
iwam, non l'utente autenticato

insomma, mi sono perso :)
grazie a tutti quelli che avranno voglia di perdere un po' di tempo
(ithost bazzica ancora da queste parti?)
ciao

Christian Paparelli [MVP]

2007-10-19 18:29:40 UTC

Permalink

Post by Massi
Ciao a tutti,

ciao

Post by Massi
ho un curioso problema, che non ha fatto altro che risvegliare alcuni
miei dubbi :)
sistema di test, winXP e iis 5.1 (con php 5.spiccioli, ma non è
importante)
Attivo sul sito web l'autenticazione tramite AD (ma macchina è in
dominio)
Tramite uno script php accedo a dei files in rete su un'altra macchina
in dominio (tramite percorso UNC, diritti di accesso concessi a chi
deve entrare :P)
Ok: dalla macchina locale eseguo lo script come dominio\utente che ha
i diritti sui files remoti: tutto funziona alla perfezione
da un'altra macchina in dominio (dove mi loggo come dominio\utente)
accedo alla pagina web di cui sopra: non funziona. non riesce a
leggere il percorso remoto.

ti connetti sempre con lo stesso dominio\utente??

Post by Massi
Questo è il mio problema a cui già non so dare soluzione :) ma
soprattutto mi è venuto qualche dubbio sul funzionamento di IIS e la
gestione degli utente che lo "eseguono"
Dunque, l'utente che esegue il pool è l' IWAM_nomemacchina giusto?

Post by Massi
l'utente che esegue il sito è l' IUSR_nomemacchina (per l'accesso
anonimo)
cosa cambia fra i 2?

dipende ti lascio questo post di David che sicuramente può toglierti i vari
dubbi
http://blogs.msdn.com/david.wang/archive/2005/06/29/IIS_User_Identity_to_Run_Code_Part_2.aspx

Post by Massi
intendo, se attivo l'autenticazione tramite AD e accedo al sito,
l'utente che "sostituisco" è l'iusr, non l'iwam
mentre se nello stesso sito faccio eseguire una whoami, vedo l'utente
iwam, non l'utente autenticato
insomma, mi sono perso :)

eheh prova a impostare CreateProcessAsUser a false se usi php in modalità
cgi e vedrai php girare nel contesto dell'utente dell'application pool e
non dell'utente web anonimo

Questo è il codice c:\inetpub\adminscripts\cscript adsutil.vbs set w3svc/idwebsite/Root/CreateProcessAsUser
"false"

Per completezza
http://msdn2.microsoft.com/en-us/library/ms524791.aspx

Consiglio vivamente di non usare più php in modalità isapi o cgi ma di passare
a fastcgi
http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1521

Post by Massi
grazie a tutti quelli che avranno voglia di perdere un po' di tempo
(ithost bazzica ancora da queste parti?)

sempre qui :)

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp

Massi

2007-10-19 23:50:42 UTC

Permalink

Post by Christian Paparelli [MVP]
ti connetti sempre con lo stesso dominio\utente??

Esatto, la cosa curiosa è proprio questa!
mi collego con miodominio\mioutente sia da locale che da remoto (e il
"sito" mi riconosce correttamente) ma da locale riesco a vedere i files
remoti, dall'altro client mi restituisce un "impossibile aprire bla bla
bla: no error".. senza parole..
(se non ricordo male tu giocavi anche col php no? ecco, una semplice
scandir su percorso unc..)

Post by Christian Paparelli [MVP]
dipende ti lascio questo post di David che sicuramente può toglierti i vari
dubbi
http://blogs.msdn.com/david.wang/archive/2005/06/29/IIS_User_Identity_to_Run_Code_Part_2.aspx

Leggo domani, ora non sono proprio sobrio :P

Post by Christian Paparelli [MVP]
eheh prova a impostare CreateProcessAsUser a false se usi php in modalità cgi
e vedrai php girare nel contesto dell'utente dell'application pool e non
dell'utente web anonimo
Questo è il codice c:\inetpub\adminscripts\cscript adsutil.vbs set
w3svc/idwebsite/Root/CreateProcessAsUser "false"
Per completezza
http://msdn2.microsoft.com/en-us/library/ms524791.aspx
Consiglio vivamente di non usare più php in modalità isapi o cgi ma di
passare a fastcgi
http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1521

Parliamone.
Sempre usato php come isapi sotto iis6 e mi sono sempre trovato
benissimo.
e a quanto ricordo lo usavi anche tu così :)
come mai questo cambiamento?
+ veloce?
+ sicuro?
(l'unico vantaggio che mi viene in mente al volo, è poter finalmente
fare configurazioni diverse del php.ini e quindi php diversi sullo
stesso server..)

Post by Christian Paparelli [MVP]

Post by Massi
grazie a tutti quelli che avranno voglia di perdere un po' di tempo
(ithost bazzica ancora da queste parti?)

sempre qui :)

mi pareva fossi tu :)
ti preferivo di più nelle vesti anonime di ithost comunque :P