Utiliser des comptes de connexion SQL Server
Lors de l'utilisation de comptes de connexion SQL Server, il est primordial de chiffrer le fichier web.config.
Le fichier web.config stocke les chaînes de connexion à la base de données, qui contiennent le nom d'hôte du serveur de base de données (Source de données), le nom de la base de données (Catalogue initial), et les identifiants (ID utilisateur et mot de passe), d'où l'importance de le chiffrer.
Cependant, puisque le chiffrement du fichier web.config utilise RsaProtectedConfigurationProvider du .NET Framework, des permissions supplémentaires sont requises pour le conteneur NetFrameworkConfigurationKey utilisé par le fournisseur RSA.
Omettre de le faire empêchera le DevolutionsSchedulerService de démarrer et provoquera également cette invite lors de l'activation de l'option Chiffrement du fichier web.config.
Octroyer l'accès au conteneur NetFrameworkConfigurationKey pourrait être une préoccupation de sécurité, il est donc recommandé de ne pas accorder cette permission au Network Service ou au Local Service.
Le fichier appsettings.json est chiffré en même temps.
Nous recommandons d'utiliser un compte dédié pour le service DevolutionsSchedulerService et de définir ce compte pour exécuter le service.
Ensuite, exécuter la commande suivante depuis un invite de commandes en mode administrateur :
c:>"Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis" -pa "NetFrameworkConfigurationKey" "SchedSvcLocalAccount"
Cela devrait retourner :
Microsoft (R) ASP.NET RegIIS version 4.0.30319.0
Administration utility to install and uninstall ASP.NET on the local machine.
Copyright (C) Microsoft Corporation. All rights reserved.
Adding ACL for access to the RSA Key container...
Succeeded!
Utiliser des comptes de domaine SQL Server (Sécurité intégrée)
Lors de l'utilisation de comptes de domaine SQL Server, il est primordial de chiffrer le fichier web.config.
Le fichier web.config stocke les chaînes de connexion à la base de données, qui contiennent le nom d'hôte du serveur de base de données (Source de données) et le nom de la base de données (Catalogue initial).
Cependant, puisque le chiffrement du fichier web.config utilise RsaProtectedConfigurationProvider du .NET Framework, des permissions supplémentaires sont requises pour le conteneur NetFrameworkConfigurationKey utilisé par le fournisseur RSA.
Omettre de le faire empêchera le DevolutionsSchedulerService de démarrer, probablement en donnant cette erreur dans la console des services Windows:
Le fichier appsettings.json est chiffré en même temps.
Le compte défini sur le DevolutionsSchedulerService (appelé le compte VaultDBScheduler dans l'enquête de pré-déploiement) nécessitera l'autorisation de lecture du conteneur NetFrameworkConfigurationKey.
Exécuter la commande suivante depuis un invite de commandes en mode administrateur :
c:>"Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis" -pa "NetFrameworkConfigurationKey" "\"
Cela devrait retourner :
Microsoft (R) ASP.NET RegIIS version 4.0.30319.0
Administration utility to install and uninstall ASP.NET on the local machine.
Copyright (C) Microsoft Corporation. All rights reserved.
Adding ACL for access to the RSA Key container...
Succeeded!
Donnez-nous vos commentaires