Quais SPNs são necessários para um serviço da Web da intranet que lê registros remotos

3

Imagine um site que mostre o valor de uma chave de registro remoto, viva, como a versão das definições de antivírus em um PC remoto. Para ser claro, há 3 computadores envolvidos, o servidor da web atuando como um intermediário.

O site usa a Autenticação do Windows, portanto, de um navegador no Windows, suas credenciais do AD são passadas e o IIS autentica o usuário (no ASP.NET, o token do usuário é anexado e pode ser verificado programaticamente).

Estamos executando no IIS 7.5 com a autenticação no modo kernel, um SPN precisa ser configurado no AD para permitir que a parte Kerberos da Autenticação do Windows ocorra?

O site é executado em um pool de aplicativos na conta do AD DOMAIN \ AV1 , essa conta é membro de um grupo que tem direitos sobre os computadores na rede local.

O código no site não realiza a representação, pois não deseja assumir o ID do usuário do site (que não possui direitos de registro remoto), portanto, ele simplesmente faz uma chamada de registro remoto.

A conta da máquina do servidor Web ou da conta DOMAIN \ AV1 precisa de um SPN para negociar e executar a autenticação Kerberos nos computadores remotos?

    
por Luke Puplett 19.08.2013 / 16:42

1 resposta

2

Sim, você não pode autenticar no Kerberos sem um SPN. Uma lista de verificação para configurar o SPN para a conta da máquina está aqui:

link

Se for apenas um único servidor da Web, os dois SPN padrão para a conta da máquina. Se for um farm da Web, você provavelmente desejará optar por uma conta de domínio e garantir que a conta tenha os SPNs necessários.

Quando você afirma "O código no site não executa representação", é necessário ter em mente que, se a conta da máquina do IIS não estiver executando o acesso aos sistemas remotos, será necessário delegar a capacidade de autenticação nome de outras contas, como a conta DOMAIN \ AV1. Se você estiver usando delegação irrestrita, a configuração é simples.

Você pode querer testar com a ferramenta DelegConfig que pode ser colocada em um site e configurar uma pasta de aplicativos para. Ele fornece uma GUI simples que executa as verificações necessárias para você.

link

link

    
por 19.08.2013 / 17:15