IIS e autenticação integrada do Windows - o login não funciona para domain.com, funciona para endereço IP, localhost, 127.0.0.1

Navegue suas respostas
1

Eu instalei o Windows Server 2003 R2 e a função IIS (nenhuma função do Active Directory). Eu configurei um diretório virtual chamado 'teste' e, sob a guia Segurança do diretório virtual 'teste', desativei o login Anônimo e habilitei a Autenticação Integrada do Windows. O servidor está na rede local. O que eu faço é acessar o diretório test / no servidor usando o navegador. Aqui está o log: 

**IE on Server**
localhost   - works
127.0.0.1   - works, asks for password, 8 second delay
domain.com  - fails, asks for password, after 3 seconds asks for 
             a password again, the username field changes to: domain.com\username
172.28.28.100   - works, asks for password, 8 second delay

. 

**Firefox on Server**
same as above
    domain.com          - the 'Remember the password' tooltip displays for
                          a fraction of a second and then the browser asks
                          for the password again

. 

**IE on other LAN host**
    172.28.28.100   - works, asks for password, 8 sec delay
    domain.com  - works, asks for password, 8 sec delay
**Firefox on other LAN host**
                    - same as above, no delay

Eu obviamente estou fazendo algo errado, mas não sei o que é isso. Eu li sobre SPNs, mas quando eu uso setspn -L localhost, não há SPNs exibidos (eu acho que é porque o servidor não é um DC). Por que não consigo fazer login no servidor usando a Autenticação Integrada do Windows em domain.com?

    
por colemik 05.01.2012 / 00:01

2 respostas

1

Completamente o erro da pergunta, aqui está a tentativa 2.

Assumindo:

  • o servidor é um membro do domínio do AD 2000+
  • o cliente é um membro do domínio

Quando você digita "domain.com", o IE vai criar um Nome Principal de Serviço de http / domain.com e pedir a um DC para lhe dar um ticket para isso.

Se domain.com for algo real, ou seja, seu nome de domínio do AD, isso não vai acontecer. Pelo menos, eu não assumo.

Teste este como orientação sobre os SPNs. Tome o primeiro conselho também, e use a versão 2008 do SetSPN para fazer o material do SPN.

Em suma, você usa a conta do Pool de aplicativos (se for o IIS 6, é o serviço de rede por padrão, portanto, a conta do computador 'servidor da Web $') e registra um SPN:

SETSPN -S http / example.com DOMÍNIO \ WebServer $

Em teoria, neste momento, tudo funciona.

Eu presumo que o FireFox não faça o comando Curb auth contra o servidor, e que o IE demore mais para falhar porque está tentando.

    
por 05.01.2012 / 01:47
0

Diversas questões a serem abordadas com essa pergunta:

  • Você não pode autenticar com domain.com\username ou domain\username se não houver um domínio do Active Directory ou do NT
    chamado domain.com para autenticar.

  • Você pode ter que forçar especificamente o uso de uma conta local usando *IIS Computer Name*\username como seu ID de logon para conseguir autenticar em uma conta local no servidor IIS.

  • Provavelmente, você desejará configurar seu site NTAuthenticationProviders para desativar Negociar processo de autenticação e forçar o IIS a usar NTLM :% cscript adsutil.vbs set w3svc/__YourWebSite__/root/NTAuthenticationProviders "NTLM"

  • Seu método mais simples e rápido será usar o "Basic Auth", mas há problemas de segurança com isso, se você não está protegendo o seu tráfego de logon com SSL.

por 27.01.2012 / 20:26

Tags

Todos os dados fluem através do haproxy ou serão redirecionados? Backup do PostgreSQL WAL ShellScript