A autenticação integrada do Windows não funciona apenas no IE

6

No meu site eu tenho uma pasta que não permite acesso anônimo. Ele está configurado para usar a Autenticação Integrada do Windows, como em um domínio do AD. O login funciona bem no Firefox, no Chrome e até no Safari, mas não no IE8. Alguém encontrou isso antes? Não consigo encontrar mais ninguém com um problema semelhante, exceto quando o login falha em todos os navegadores, é claro.

    
por CoreyT 16.06.2010 / 17:27

4 respostas

4

Provavelmente, isso ocorre devido a um SPN quebrado em algum lugar.

Eu suspeito que os navegadores que não são da Microsoft não executem o Kerberos (ou, pelo menos, não façam da mesma maneira que o IE).

Isso significa que o IE pode estar tentando um logon do Kerberos, onde os outros podem estar usando o NTLM.

Se existir um SPN para http / www.example.com ou host / www.example.com e não pertencer à conta que executa o pool de aplicativos, isso seria uma boa razão para esse tipo de quebrar.

No Windows 2008 ou posterior: SETSPN -X irá verificar se há duplicatas; SETSPN -Q http/www.example.com procurará proprietários desse SPN específico.

Corrija seu problema com o SPN e provavelmente consertará os logons do IE que estão sendo quebrados.

Outras orientações podem lhe dizer para desabilitar a Autenticação Integrada do Windows nas propriedades avançadas do IE; esse é um movimento idiota que quebra o Kerberos para tudo e encobre o problema.

Mais aqui .

    
por 23.01.2012 / 01:00
2

Isso foi mencionado de passagem em um dos comentários, mas eu queria chamá-lo especificamente para o caso de alguém achar útil. Eu estava tendo o mesmo problema e consegui resolvê-lo alterando a identidade do pool de aplicativos. Isso é encontrado em "Configurações avançadas" para o pool de aplicativos fornecido.

Alguém definiu esse valor como "AppPoolIdentity", mas precisei defini-lo de volta para "NetworkService" para corrigir o problema.

(Eu tentei postar uma imagem, mas eu preciso de mais reputação aparentemente. Se alguém invocar esta resposta, eu posso adicionar a imagem.)

    
por 28.07.2015 / 18:00
1

A resposta quebrada do SPN parece estar correta. Isso significa que você pode precisar apontar o problema para seu departamento de TI / SI, se quiser que o Kerberos seja configurado corretamente.

Eu não recomendo a "desabilitar a solução Habilitar Autenticação Integrada do Windows", porque ela exige que os usuários normais entrem e cliquem em algo que eles nem sequer têm permissão para alterar dependendo de como os administradores configuraram o IE.

Caso a configuração do Kerberos não seja corrigida em breve, a solução mais flexível é acessar o aplicativo no IIS, clique em Autenticação, realce a linha Autenticação do Windows (que deve estar marcada como habilitada e com tudo o mais desativado ) e, em seguida, clique no link "Provedores ..." à direita. Provavelmente haverá duas entradas, "Negotiate" e "NTLM", com Negotiate no topo. Mova o NTLM para o topo. Isso força o seu site a usar o NTLM, o que é um risco de segurança, mas é a única opção se o Kerberos não estiver disponível.

    
por 23.04.2013 / 17:18
0

Você está acessando o site por um nome de domínio totalmente qualificado? Por exemplo, um site da intranet pode ser acessado pela "intranet", mas o IE8 não acredita que isso esteja em seu domínio do AD porque a "parte do domínio" não corresponde. Você teria que usar "intranet.example.com", onde seu domínio do AD é "example.com".

    
por 16.06.2010 / 17:59