COM - авторизация клиента

[RXL]

На машинах клиентов стоят прокси-компоненты COM+ - реальзые компоненты запускаются на сервере.

Сервер - Win2003 Server SP1. В группу DCOM на сервере добавлен "NT AUTHORITY/ANONYMOUS LOGON", чтобы не входящие в домен машины могли подключаться COM+ компонентам на сервере.

Есть машина с W2k. На ней установлены клиентские прокси-компоненты. Компоненты работают нормально.

Я захотел сделать тоже самое с еще одной машиной вне домена. На ней установлена WinXP SP2. При попытке подключения к COM+ на сервере происходит login failure.

Логи событий на сервере показывают, что первая машина не пытается авторизоваться, а вторая - пытается. Она пересылает данные о текущем залогиненом пользователе.

Вопрос: как сделать так, чтобы запросы к серверным компонентам делались анонимно?


В настройках клиентских компонент все закрыто от редактирования, кроме поля, где указывается имя сервера, на котором будут выполняться компоненты.

[sss]

RXL, а что у тебя в свойствах связи DCOM по умолчанию? Уровень олицетворения и проверки подлинности?

[RXL]

проверка подлинности: подключение
олицетворение: идентификация

Это на клиенте.

Кстати, еще детали: на w2k компонеты используются из IIS+ASP, а в проблемном случае - из интерактивной программы.

[sss]

Ну попробуй поставить анонимный уровень олицетворения. Вообще странно, что все кнопки заблокированы. Хотя там не выставить удостоверение анонимного пользователя . Попробуй залезть в конфигурацию с другого компьютера.

[RXL]

sss, такие методики уже ранее опробованы. Результат нулевой.

Потом, что значит "влезть с другого компа"? Ты не путаешь? Эти настройки хранятся не в реестре, а в отдельных бинарных файлах (C:\WINDOWS\Registration\*.clb). Средств удаленно настраивать компоненты я не знаю. Или они таки есть?

[sss]

RXL, нет ты прав. Я подключился, а ветки "Настройка DCOM" ,для удаленного компьютера, нет.  А что в журналах безопасности сервера? Неудачный вход?

[RXL]

Да. В случае w2k+iis+asp - анонимный вход, в случае winxp - попытка авторизоваться под текущим интерактивным пользователем + сообщение о провале авторизации.

[Sla]

не совсем понимаю...
а чем отличается анонимный вход от авторизованного?
Даже так:
Чем отличается анонимная попытка авторизации от неанонимной?

[RXL]

Sla, в случае анонимного входа это называется "NT AUTHORITY/ANONYMOUS LOGON" - встроенный псевдопользователь, а если я попытаюсь войти под несуществующим на машине (или домене) пользователе - будет провал авторизации. Что и имеем.

[sss]

Получается загвоздка с ограничением права "Доступ к компьютеру из сети". RXL, а что если добавить ее в список локальных учетных записей сервера? Или машины в домене? Или изменить сетевую модель клиента?

Вообще, конечно, надо разбираться, почему заблокированы  настройки компонентов. Я тоже заинтересован в этой теме. У меня заблокированы во вкладке "Безопасность COM" кнопки "Изменить ограничения...". Хоть бы книги какие нибудь были, вроде "Администрирование COM".

Sla, в том вся и загвоздка, что бы компонент DCOM клиента не подставлял реквизиты запускающего (интерактивного) пользователя, а использовал анонима. Вот только не пойму, почему не работает анонимный уровень олицетворения в свойствах по умолчанию 

[RXL]

sss, в первом посте я все условия написал. Сервер в домене. Почти все клиентские машины в домене - проблем с ними нет. Но есть 1 машина с w2k вне домена, которая может работать с сервером, а я хочу сделать еще одну машину с winxp вне домена.

Настройки компонентов заблокированы потому, что "нефиг их крутить" - это стороннее ПО. При установке клиента оно ставит эти прокси-компоненты и само настраивает их на работу с сервером, оставляя только возможность менять имя сервера.

Безопасность COM тоже не при чем - там все разрешено. Задача добиться именно того, чтобы клиент не пытался авторизоваться "под собой", а делал это анонимно.

Я так понимаю, что без какого-нибудь хитрого админастраторско-хакерского талмуда не обойтись...

Крутить надо на клиенте - проблемы от него.

[sss]

RXL, если машина вне домена, значит надо включать гостевую учетную запись на сервере и менять сетевую модель на гостевую у клиента... Возможно, добавить право "Доступ к компьютеру из сети" для гостя или включить настройку "Гость принадлежит группе Все.", или как там она называется. Если ты на клиенте не можешь менять реквизиты отдельного компонента - то по другому никак... Только если "Запуск приложения от имени..." и там умудриться запустить от имени учетной записи, известной DC..