1 votes

colemik avatar

IIS et authentification intégrée de Windows - la connexion ne fonctionne pas pour domain.com, mais pour l'adresse IP, localhost, 127.0.0.1.

Demandé el 5 de Janvier, 2012
Quand la question a-t-elle été
8718 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai installé Windows Server 2003 R2 et le rôle IIS (pas de rôle Active Directory). J'ai configuré un répertoire virtuel nommé 'test' et sous l'onglet Sécurité du répertoire virtuel 'test', j'ai désactivé la connexion anonyme et activé l'authentification Windows intégrée. Le serveur est sur le réseau local. Ce que je fais, c'est que j'accède au répertoire 'test' sur le serveur en utilisant le navigateur. Voici le journal :

**IE on Server**
localhost   - works
127.0.0.1   - works, asks for password, 8 second delay
domain.com  - fails, asks for password, after 3 seconds asks for 
             a password again, the username field changes to: domain.com\username
172.28.28.100   - works, asks for password, 8 second delay

.

**Firefox on Server**
same as above
    domain.com          - the 'Remember the password' tooltip displays for
                          a fraction of a second and then the browser asks
                          for the password again

.

**IE on other LAN host**
    172.28.28.100   - works, asks for password, 8 sec delay
    domain.com  - works, asks for password, 8 sec delay
**Firefox on other LAN host**
                    - same as above, no delay

Il est évident que je fais quelque chose de mal, mais je ne sais pas ce que c'est. J'ai lu des articles sur les SPN, mais lorsque j'utilise setspn -L localhost, aucun SPN ne s'affiche (je suppose que c'est parce que le serveur n'est pas un DC). Pourquoi ne puis-je pas me connecter au serveur en utilisant l'authentification intégrée de Windows sur le domaine.com ?

Demandé el 5 de Janvier, 2012 par colemik

Réponses

Trop de publicités?

1voto

TristanK avatar
TristanK Points 8893

J'ai complètement mal interprété la question, alors voici le deuxième essai.

Assumant :

  • le serveur est un membre du domaine AD 2000+.
  • le client est un membre du domaine

Lorsque vous tapez "domain.com", IE va construire un Service Principal Name de http/domain.com et demander à un DC de lui donner un ticket pour cela.

Si domain.com est quelque chose de réel, c'est-à-dire votre nom de domaine AD, cela ne marchera pas. Du moins, je suppose que non.

Essayez este pour des conseils sur les NPS. Suivez également le premier conseil, et utilisez la version 2008 de SetSPN pour faire le travail de SPN.

En bref, vous prenez le compte App Pool (si c'est IIS 6, c'est le service réseau par défaut, donc le compte d'ordinateur 'webserver$') et vous enregistrez un SPN pour ce compte :

SETSPN -S http/exemple.com DOMAIN \WebServer $

En théorie, à ce stade, tout fonctionne.

Je suppose que FireFox ne fait pas d'authentification Kerb contre le serveur, et que IE prend plus de temps pour échouer parce qu'il essaie de le faire.

Répondu el 5 de Janvier, 2012 par TristanK (8893 Points )

0voto

Dave Cross avatar
Dave Cross Points 17363

Plusieurs points à aborder avec cette question :

  • Vous ne pouvez pas vous authentifier avec domain.com\username o
    domain\username s'il n'y a pas de domaine Active Directory ou NT
    appelé domaine.com pour s'authentifier.

  • Il se peut que vous deviez forcer spécifiquement l'utilisation d'un compte local en utilisant *IIS Computer Name*\username comme identifiant de connexion pour réussir s'authentifier contre un compte local sur le serveur IIS.

  • Vous voudrez probablement définir les NTAuthenticationProviders de votre site pour désactiver le Négocier processus d'authentification et forcer IIS à utiliser NTLM :
    cscript adsutil.vbs set w3svc/__YourWebSite__/root/NTAuthenticationProviders "NTLM"

  • La méthode la plus simple et la plus rapide est d'utiliser "Basic Auth", mais il y a des problèmes de sécurité avec ça si vous ne protégez pas votre trafic de connexion avec SSL.

Répondu el 27 de Janvier, 2012 par Dave Cross (17363 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X