Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
Windows Server 2000/2003/2008, IIS
IIS7.5 isolamento e perplessità
mercoledì 16 febbraio 2011 - 10.11
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
xabaras
Profilo
| Newbie
2
messaggi | Data Invio:
mer 16 feb 2011 - 10:11
Ciao a tutti. Sono un pò perplesso e spero che possiate chiarirmi alcuni dubbi.
Scenario
Windows 2008 R2
AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
AppPoolTest2 (user: test2 inserito nel gruppo membro di IIS_IUSRS)
site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente: pass-through - percorso fisico: d:\sites\test1\http)
site: test2 appPool: AppPoolTest2 (accesso a percorso fisico utente: pass-through - percorso fisico: d:\sites\test2\http)
diritti:
d:\ e tutte le sottocartelle negate a IIS_IUSRS - gruppo users accesso standard
d:\sites\test1\http accesso in lettura ad utente test1
d:\sites\test2\http accesso in lettura ad utente test2
Ok. Veniamo al dunque:
i siti funzionano, test con applicazioni dotnet dimostrano che un'applicazione dotnet che gira sotto test1 ha accesso alla sola cartella d:\sites\test1\http e un tentativo anche tramite system.io di accedere fuori da d:\sites\test1\http da errore di permessi (questo è quello che ci si aspetta)
diverso e far girare un'applicazione asp classi. Utilizzando il file sysem una classic asp accede tranquillamente anche a file fuori dal sito dove è eseguita.
Quando mi sono accorto di questa cosa chiaramente sono rimasto perplesso. Si aggiunga che aprire un db mdb con asp classic mi richiedeva accesso alla cartella dove era posizionato il file in lettura e scrittura non all'utente del pool ma all'utente generico IUSR
Capirete che mettendo l'accesso al percorso fisico all'utente pass-through mi aspettavo che fosse l'utente del pool ad accedere (mi sembra logico da impostazione. si dice al sito di usare l'utente del pool perchè dovrebbe usarne un altro)
Il tutto ovviamente l'ho già risolto specificando l'utente di accesso al percorso fisico in maniera esplicita facendo in pratica
AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
AppPoolTest2 (user: test2 inserito nel gruppo membro di IIS_IUSRS)
site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente:test1 - percorso fisico: d:\sites\test1\http)
site: test2 appPool: AppPoolTest2 (accesso a percorso fisico utente: test2 - percorso fisico: d:\sites\test2\http)
(facendo così tutto è isolato alla perfezione)
ma la mia perplessità rimane. Fondamentalmente non dovrebbe essere equivalente fare
AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente: pass-through - percorso fisico: d:\sites\test1\http)
o
AppPoolTest1 (user: test1 inserito nel gruppo membro di IIS_IUSRS)
site: test1 appPool: AppPoolTest1 (accesso a percorso fisico utente: test1 - percorso fisico: d:\sites\test1\http)
Sabatino
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !