Administratorhandbuch
-
Datenbank
-
Installation
-
Konfiguration
-
Wartung
Authentifizierung
gilt für alle Versionen
Der eCo-Dienst muss eine Verbindung zum SQL-Server herstellen, um auf der Datenbank arbeiten zu können. Es gibt verschiedene Möglichkeiten, wie sich der Server authentifizieren kann:
- IIS-Anwendungspool
- Ermöglicht allen Anwendungen, die unter dem Anwendungspool ausgeführt werden,
auf die Datenbank zuzugreifen. Benötigt kein Kennwort. Wenn der
Datenbankserver und eCo-Dienst auf dem selben Computer laufen, besteht diese
Möglichkeit immer.
Wenn der Datenbankserver auf einem anderen Computer läuft, wird auf diesen wie unter der Variante Computerkonto zugegriffen, eine Domäne ist dann auch notwendig. - Computerkonto
- Ermöglicht allen Programmen, die über das Dienstkonto Lokaler Dienst auf dem Computer ausgeführt werden, auf die Datenbank zuzugreifen. Benötigt kein Kennwort, aber eine Domäne.
- Dienstkonto
- Ermöglicht allen Programmen, die unabhängig vom Computer unter einem Dienstkonto ausgeführt werden, auf die Datenbank zuzugreifen. Benötigt ein Kennwort und eine Domäne. Hierfür muss ggf. auch eine Anpassung der Client-Konfiguration vorgenommen werden.
- SQL-Konto
- Ermöglicht allen Programmen, die Benutzername und Kennwort für das SQL-Konto
kennen, auf die Datenbank zuzugreifen. Benötigt einen Microsoft SQL-Server im
gemischten Authentifizierungsmodus, ein Kennwort, ist jedoch unabhängig von
der Domäne und kann auch domänenübergreifend verwendet werden.
Da das Kennwort unverschlüsselt auf dem System abgespeichert wird, wird diese Variante nur dann empfohlen, wenn das System ausschließlich den Serverdienst ausführt und keine anderen Benutzer auf den Serverordner zugreifen können.
Grundsätzlich wird die Verwendung der Methode IIS-Anwendungspool empfohlen, wenn sich Serverdienst und Datenbank auf dem gleichen System befinden oder der Serverdienst die einzige auf dem System installierte Anwendung ist.
IIS-Anwendungspool
Wenn eCo-Dienst und Datenbankserver auf dem gleichen Computer laufen, empfiehlt sich die Authentifizierung über den IIS-Anwendungspool am meisten. Hierbei wird nur IIS-Anwendungen der Zugriff erlaubt, für die der Anwendungspool eingestellt wurde. Laufen Dienst und Datenbank auf unterschiedlichen Computern, sollte dieser Authentifizierungsmodus nur dann verwendet werden, wenn der Serverdienst die einzige auf dem System ausgeführte Anwendung ist.
In der Standardeinstellung ist der eCo-Dienst so konfiguriert, dass er sich
gegenüber einem lokalen SQL-Server als IIS APPPOOL\eCo4 authentifiziert.
Datenbank und Serverdienst auf dem gleichen System
Zum Hinzufügen der Anmeldung legen Sie im SQL-Server eine neue Anmeldung vom
Typ Windows-Authentifizierung an und geben als Namen IIS APPOOL\eCo4 ein.
Datenbank und Serverdienst auf unterschiedlichen Systemen
Wenn Sie diese Authentifizierungsmethode verwenden, sich der Datenbankserver aber auf einem anderen System befindet, authentifiziert sich der Anwendungsdienst mit dem Computerkonto. Befolgen Sie die Schritte in diesem Abschnitt, um Zugriff auf die Datenbank zu gewähren.
Computerkonto
Wenn der Computer, auf dem der eCo-Dienst läuft, keine anderen Anwendungen ausführt, kann die Authentifizierung über das Computerkonto erfolgen. Hierbei wird allen Programmen, die als Lokaler Dienst ausgeführt werden, der Zugriff auf die Datenbank gestattet. Dies ist nur möglich, wenn sich der Computer mit dem Dienst und der Datenbankserver in der gleichen Domäne befinden.
Sicherheitshinweis: Bitte beachten Sie, dass alle anderen Programme, die auch unter dem Konto Lokaler Dienst ausgeführt werden (u.a. alle IIS-Anwendungen), Zugriff auf die Datenbank erhalten.
In der Standardeinstellung ist der eCo-Dienst so konfiguriert, dass er sich
gegenüber einem entfernten SQL-Server in der gleichen Domäne mit dem
Computerkonto <DOMÄNE>\<COMPUTERNAME>$ authentifiziert.
Zum Hinzufügen der Anmeldung legen Sie im SQL-Server eine neue Anmeldung vom
Typ Windows-Authentifizierung an und geben als Namen
<DOMÄNE>\<COMPUTERNAME>$ ein.
Dienstkonto
Wenn der Computer, auf dem der eCo-Dienst läuft, auch noch weitere Dienste bereitstellt, insbesondere weitere IIS-Anwendungen, empfiehlt sich die Authentifizierung über ein Dienstkonto, um den anderen Anwendungen keinen Zugriff auf die Datenbank zu geben. Dies ist nur möglich, wenn sich der Computer mit dem Dienst und der Datenbankserver in der gleichen Domäne befinden.
Gehen Sie wiefolgt vor, um den eCo-Dienst unter einem Dienstkonto auszuführen:
- Klicken Sie auf Start, suchen Sie in der Liste den Ordner Windows-Verwaltungsprogramme und öffnen Sie in diesem den Internetinformationsdienste (IIS)-Manager. Alternativ können Sie auch die Suche benutzen.
- Erweitertern Sie im Baum auf der linken Seite den Eintrag mit dem
Servernamen.
- Klicken Sie auf den Eintrag Anwendungspools.
- Klicken Sie mit der rechten Maustaste auf den Eintrag eCo4 und anschließend auf Erweiterte Einstellungen.
- Klicken Sie im Abschnitt Prozessmodell auf die Zeile Identität.
- Klicken Sie auf die Schaltfläche … am Ende der Zeile.
- Wählen Sie Benutzerdefiniertes Konto aus und klicken Sie auf Festlegen.
- Geben Sie den Benutzernamen in der Form
<DOMÄNE>\<KONTONAME>und das zugehörige Kennwort ein. - Bestätigen Sie alle offenen Dialog mit OK.
Zum Hinzufügen der Anmeldung legen Sie im SQL-Server eine neue Anmeldung vom
Typ Windows-Authentifizierung an und geben als Namen <DOMÄNE>\<KONTONAME>
ein.
SQL-Konto
Bei der Verwendung eines SQL-Kontos wird die Authentifizierung unabhängig von der Domäne durchgeführt, sodass auch domänenübergreifende Zugriffe möglich sind. Die Zugangsdaten werden im Klartext in der Datei Web.config im Serververzeichnis gespeichert.
Die Konfiguration der Zugangsdaten eines SQL-Kontos erfolgt über die Verbindungszeichenfolge. Auf der Seite zum Ändern der Verbindungsdaten finden Sie weitere Informationen zur Einstellung.
Zum Hinzufügen der Anmeldung legen Sie im SQL-Server eine neue Anmeldung vom Typ SQL-Authentifizierung und vergeben den gewünschten Namen sowie ein Kennwort.