IIS7.5 isolamento e perplessità

mercoledì 16 febbraio 2011 - 10.11

xabaras Profilo | Newbie

Ciao a tutti. Sono un pò perplesso e spero che possiate chiarirmi alcuni dubbi.

Scenario

Windows 2008 R2

AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
AppPoolTest2 (user: test2 inserito nel gruppo membro di IIS_IUSRS)

site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente: pass-through - percorso fisico: d:\sites\test1\http)
site: test2 appPool: AppPoolTest2 (accesso a percorso fisico utente: pass-through - percorso fisico: d:\sites\test2\http)

diritti:
d:\ e tutte le sottocartelle negate a IIS_IUSRS - gruppo users accesso standard
d:\sites\test1\http accesso in lettura ad utente test1
d:\sites\test2\http accesso in lettura ad utente test2


Ok. Veniamo al dunque:
i siti funzionano, test con applicazioni dotnet dimostrano che un'applicazione dotnet che gira sotto test1 ha accesso alla sola cartella d:\sites\test1\http e un tentativo anche tramite system.io di accedere fuori da d:\sites\test1\http da errore di permessi (questo è quello che ci si aspetta)

diverso e far girare un'applicazione asp classi. Utilizzando il file sysem una classic asp accede tranquillamente anche a file fuori dal sito dove è eseguita.
Quando mi sono accorto di questa cosa chiaramente sono rimasto perplesso. Si aggiunga che aprire un db mdb con asp classic mi richiedeva accesso alla cartella dove era posizionato il file in lettura e scrittura non all'utente del pool ma all'utente generico IUSR

Capirete che mettendo l'accesso al percorso fisico all'utente pass-through mi aspettavo che fosse l'utente del pool ad accedere (mi sembra logico da impostazione. si dice al sito di usare l'utente del pool perchè dovrebbe usarne un altro)

Il tutto ovviamente l'ho già risolto specificando l'utente di accesso al percorso fisico in maniera esplicita facendo in pratica

AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
AppPoolTest2 (user: test2 inserito nel gruppo membro di IIS_IUSRS)

site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente:test1 - percorso fisico: d:\sites\test1\http)
site: test2 appPool: AppPoolTest2 (accesso a percorso fisico utente: test2 - percorso fisico: d:\sites\test2\http)

(facendo così tutto è isolato alla perfezione)

ma la mia perplessità rimane. Fondamentalmente non dovrebbe essere equivalente fare

AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente: pass-through - percorso fisico: d:\sites\test1\http)

o

AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente: test1 - percorso fisico: d:\sites\test1\http)



Sabatino





Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5