Веб-службы ASP.NET

Безопасность приложения

Запись данных в журнал событий не требует модификации прав, под которыми работает веб-служба. Новыми возможностями IIS6 являются две встроенные учетные записи для рабочих процессов: Network Service (Сетевая служба) и Local Service (Локальная служба). В предыдущих версиях рабочие процессы для IIS выполнялись под учетной записью Local System (Локальная система). Учетная запись Network Service (Сетевая служба) является учетной записью по умолчанию для выполнения рабочих процессов в IIS. Она более ограничительна по сравнению с Local System (Локальная система), а учетная запись Local Service (Локальная службы) – более ограничительна по сравнению с Network Service (Сетевая служба). Можно создать особую учетную запись для обеспечения определенных требований к безопасности приложения.

Для настройки приложения на работу под другой учетной записью следует создать новый пул приложения и настроить его на работу под аутентификационными данными учетной записи Local System (Локальная система).

1. Откройте консоль MMC Computer Management (Управление компьютером) с помощью команды Start\Administrative Tools (Пуск\Администрирование).
2. Откройте узел Internet Information Services (IIS) Manager (Диспетчер IIS), затем – узел папки Aplication Pools (Пулы приложения). В дереве, расположенном под папкой Application Pools (Пулы приложений), в виде значков отобразятся все пулы приложения. В списке должен присутствовать пул приложения DefaultAppPool. При его развертывании отобразятся веб-сайты, использующие этот элемент (см. рис. 3.12).
3. Веб-сайт по умолчанию Default Web Site, созданный при установке IIS, использует пул DefaultAppPool. Как видно из рисунка 3.12, сайт Default Web Site присутствует в списке многих веб-приложений, использующих DefaultAppPool. Для настройки пула приложения откройте страницу свойств веб-сайта или виртуального каталога, щелкнув правой кнопкой мыши на узле и выбрав команду Properties (Свойства).
   

   
   увеличить изображение
   Рис. 3.12.

4. Откройте вкладку Home Directory (Домашний каталог) веб-сайта либо вкладку Virutal Directory (Виртуальный каталог) виртуального каталога. Во вкладке Home Directory (Домашний каталог) поле со списком Application Pool (Пул приложения) отображает доступные пулы приложения (см. рис. 3.13).

   

   
   Рис. 3.13. Вкладка Home Directory (Домашний каталог) окна свойств веб-сайта по умолчанию

   Веб-служба Events работает в виртуальном каталоге myPortal, расположенном на сайте Default Web Site. Виртуальный каталог myPortal настроен на использование пула DefaultAppPool, работающего под аутентификационными данными учетной записи Network Service (Сетевая служба). Когда веб-служба Events попытается записать данные в журнал событий, произойдет ошибка, так как учетная запись Network Service (Сетевая служба) не имеет соответствующих прав. В предыдущей версии IIS запись в журнал приложений веб-службой Events осуществляется без всяких проблем. Для разрешения проблемы доступа создайте новый пул приложения, использующий учетную запись Local System, и настройте myPortal на работу с новым пулом приложения.
5. Щелкните правой кнопкой мыши на значке Application Pools (Пулы приложений) в консоли Computer Management (Управление компьютером) и выберите New\Aplication Pool (Создать\Пул приложения).
6. В диалоговом окне Add New Application Pool (Создание нового пула приложения) (см. рис. 3.14) видно, что идентификатор ID пула приложения равен значению webservice using LocalSystem. В нашем случае используются параметры по умолчанию нового пула приложения.
   

   
   Рис. 3.14. Диалоговое окно Add New Application Pool (Создание нового пула приложения)
7. Нажмите на кнопку OK.

Ниже приведены шаги по смене объекта пула приложения webservice using LocalSystem.

1. Щелкнув правой кнопкой на вновь созданном узле webservice using LocalSystem в консоли MMC Computer Management (Управление компьютером) в узле Application Pools (Пулы приложения) и выберите пункт Properties (Свойства).
2. В окне свойств откройте вкладку Identity (Объект) и в списке учетных записей Predefined security account (Предопределенные учетные записи безопасности) выберите Local System (Локальная система) (см. рис. 3.15).
   

   
   Рис. 3.15. Настройка учетной записи для пула приложения
3. Нажмите на кнопку OK или на кнопку Apply (Применить). Появится окно с предупреждением об опасностях, связанных с работой пула приложений в учетной записи Local System (Локальная система). Вы можете настроить учетную запись в соответствии с требованиями безопасности, чтобы веб-служба осуществляла запись в журнал событий приложения.

После создания пула приложения виртуальный каталог myPortal нужно настроить на использование пула приложения webservice using LocalSystem. Откройте окно свойств для myPortal и во вкладке Directory (Каталог) выберите новый пул приложения (см. рис. 3.16).

Рис. 3.16.