Autor Thema: [INFO] Seltsames (!?) Verhalten bei Web- Agenten, die auf andere Server zugreife  (Gelesen 1862 mal)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Ich hatte gestern eine Situation, die nicht alltäglich ist, und an der ich eine Weile geknobelt habe.
Deshalb dachte ich, ich enthalte Euch den Fall -und die Lösung- nicht vor:

Folgendes Konstrukt:
Auf Server A in Domäne A läuft eine Datenbank. Ein angemeldeter User "WebUser" wirft einen Agenten an, der auf dem Server läuft, und ein Dokument in eine Datenbank auf Server B in Domäne B schreiben will.

Der Agent gibt aus:
ses.Username = Server A
ses.EffectiveUserName = WebUser

Er bricht dann mit einer Zugriffsfehlermeldung ab.

Ursache: Wenn man den Server A UND den WebUser in die Trusted Servers von Server B aufnimmt, dann läuft der Agent durch. Scheinbar gilt also der WebUser in dieser Konstellation als Server (weil der Agent auf einem Server ausgeführt wird.

Ist natürlich keine Lösung, die Lösung war ein umschreiben des Agenten.

Ach ja: Wenn Server A und Server B in der selben Domäne sind, dann tritt das Problem bei ansonsten identischer Konfiguration nicht auf. Der WebUser ist ein User, der per Directory Assistance an Server A aus der Domäne B vom Server B kommt, hat also dort alle nötigen Berechtigungen.

Nur zur Info... Vielleicht ist das ja ein "Works as designed", wollte es hier nur mal posten...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline DerAndre

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.655
  • Geschlecht: Männlich
  • Keep cool!
Hi Thorsten.

Denn genau das hatte ich letzte Woche auch.

Ich wollte über eine Webmaske einen AdminP Prozess für einen User generieren
damit sein HTTPKennwort geändert wird.

Am Anfang hatte ich im WQS auch den EffectiveUser genommen denn ich war
Optimist und dachte, da der User ja angemeldet ist sollte es klappen.

Aber es wurde der Server zurück geliefert.
André

Elterninitiative diabetischer Kinder und Jugendlicher e.V.
-----------------------------------------------------------------------------
Fliegen ist die Kunst auf den Boden zu Fallen, aber daneben.
-----------------------------------------------------------------------------
Etwas mehr Hardware dazu zu kaufen ist viel billiger als
Software besser zu machen. ( Niklaus Wirth )

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Ist nicht exakt das selbe, aber ich denke, speziell bei Web- Agenten muss man dreimal auf die Berechtigungen schauen und braucht ggf. Berechtigungen, mit denen man gar nicht rechnet...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz