Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: COM - авторизация клиента  (Прочитано 15011 раз)
0 Пользователей и 7 Гостей смотрят эту тему.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« : 03-03-2008 16:28 » 

На машинах клиентов стоят прокси-компоненты COM+ - реальзые компоненты запускаются на сервере.

Сервер - Win2003 Server SP1. В группу DCOM на сервере добавлен "NT AUTHORITY/ANONYMOUS LOGON", чтобы не входящие в домен машины могли подключаться COM+ компонентам на сервере.

Есть машина с W2k. На ней установлены клиентские прокси-компоненты. Компоненты работают нормально.

Я захотел сделать тоже самое с еще одной машиной вне домена. На ней установлена WinXP SP2. При попытке подключения к COM+ на сервере происходит login failure.

Логи событий на сервере показывают, что первая машина не пытается авторизоваться, а вторая - пытается. Она пересылает данные о текущем залогиненом пользователе.

Вопрос: как сделать так, чтобы запросы к серверным компонентам делались анонимно?



В настройках клиентских компонент все закрыто от редактирования, кроме поля, где указывается имя сервера, на котором будут выполняться компоненты.
« Последнее редактирование: 03-03-2008 16:35 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #1 : 07-03-2008 01:46 » 

RXL, а что у тебя в свойствах связи DCOM по умолчанию? Уровень олицетворения и проверки подлинности?
Записан

while (8==8)
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 07-03-2008 11:39 » 

проверка подлинности: подключение
олицетворение: идентификация

Это на клиенте.

Кстати, еще детали: на w2k компонеты используются из IIS+ASP, а в проблемном случае - из интерактивной программы.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #3 : 11-03-2008 02:30 » 

Ну попробуй поставить анонимный уровень олицетворения. Вообще странно, что все кнопки заблокированы. Хотя там не выставить удостоверение анонимного пользователя Жаль. Попробуй залезть в конфигурацию с другого компьютера.
Записан

while (8==8)
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #4 : 11-03-2008 17:37 » 

sss, такие методики уже ранее опробованы. Результат нулевой.

Потом, что значит "влезть с другого компа"? Ты не путаешь? Эти настройки хранятся не в реестре, а в отдельных бинарных файлах (C:\WINDOWS\Registration\*.clb). Средств удаленно настраивать компоненты я не знаю. Или они таки есть?
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #5 : 12-03-2008 02:50 » 

RXL, нет ты прав. Я подключился, а ветки "Настройка DCOM" ,для удаленного компьютера, нет.  А что в журналах безопасности сервера? Неудачный вход?
Записан

while (8==8)
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #6 : 12-03-2008 20:36 » 

Да. В случае w2k+iis+asp - анонимный вход, в случае winxp - попытка авторизоваться под текущим интерактивным пользователем + сообщение о провале авторизации.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 12-03-2008 20:41 » 

не совсем понимаю...
а чем отличается анонимный вход от авторизованного?
Даже так:
Чем отличается анонимная попытка авторизации от неанонимной?
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #8 : 12-03-2008 21:05 » 

Sla, в случае анонимного входа это называется "NT AUTHORITY/ANONYMOUS LOGON" - встроенный псевдопользователь, а если я попытаюсь войти под несуществующим на машине (или домене) пользователе - будет провал авторизации. Что и имеем.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #9 : 13-03-2008 03:17 » 

Получается загвоздка с ограничением права "Доступ к компьютеру из сети". RXL, а что если добавить ее в список локальных учетных записей сервера? Или машины в домене? Или изменить сетевую модель клиента?

Вообще, конечно, надо разбираться, почему заблокированы  настройки компонентов. Я тоже заинтересован в этой теме. У меня заблокированы во вкладке "Безопасность COM" кнопки "Изменить ограничения...". Хоть бы книги какие нибудь были, вроде "Администрирование COM".

Sla, в том вся и загвоздка, что бы компонент DCOM клиента не подставлял реквизиты запускающего (интерактивного) пользователя, а использовал анонима. Вот только не пойму, почему не работает анонимный уровень олицетворения в свойствах по умолчанию  Здесь была моя ладья...
Записан

while (8==8)
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #10 : 13-03-2008 09:11 » new

sss, в первом посте я все условия написал. Сервер в домене. Почти все клиентские машины в домене - проблем с ними нет. Но есть 1 машина с w2k вне домена, которая может работать с сервером, а я хочу сделать еще одну машину с winxp вне домена.

Настройки компонентов заблокированы потому, что "нефиг их крутить" Ага - это стороннее ПО. При установке клиента оно ставит эти прокси-компоненты и само настраивает их на работу с сервером, оставляя только возможность менять имя сервера.

Безопасность COM тоже не при чем - там все разрешено. Задача добиться именно того, чтобы клиент не пытался авторизоваться "под собой", а делал это анонимно.

Я так понимаю, что без какого-нибудь хитрого админастраторско-хакерского талмуда не обойтись... Жаль

Крутить надо на клиенте - проблемы от него.
« Последнее редактирование: 13-03-2008 09:14 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
sss
Специалист

ru
Offline Offline

« Ответ #11 : 13-03-2008 10:08 » 

RXL, если машина вне домена, значит надо включать гостевую учетную запись на сервере и менять сетевую модель на гостевую у клиента... Возможно, добавить право "Доступ к компьютеру из сети" для гостя или включить настройку "Гость принадлежит группе Все.", или как там она называется. Если ты на клиенте не можешь менять реквизиты отдельного компонента - то по другому никак... Только если "Запуск приложения от имени..." и там умудриться запустить от имени учетной записи, известной DC..
Записан

while (8==8)
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines