precisa de ajuda na configuração do SPN para Autenticação do Kerberos

Navegue suas respostas
1

Estou usando o IIS 7 para configurar um site na autenticação do Windows. Eu estou vendo o problema de autenticação que eu tenho quase certeza que está relacionado ao problema de kerberos e estou erroneamente configurando o SPN. O cenário que estou usando é como abaixo.

Eu criei um novo domínio de teste (cujo FQDN permite chamar como " test.net ") governado por um controlador de domínio (vamos chamar isso de mc como 'test-DC'). Sob este novo domínio (teste) eu tenho hospedado um servidor IIS que é suposto usar autenticação do Windows com delegação kerberos. Eu habilitei o windows auth habilitado enquanto outro desabilitado no gerenciador do IIS. Digamos que este nome de máquina do IIS seja 'test-iis' e o diretório ativo tenha seu nome de usuário para o servidor IIS como 'user-iis'. O pool de aplicativos no servidor IIS está sendo executado na conta de serviço como "TEST \ user-iis". Eu estou tentando configurar o SPN para o tipo de serviço HTTP.

Primeira pergunta: Estou definindo o SPN como 

setspn -a http/test-iis.test.net

Esta definição de SPN está correta?

Minha segunda pergunta é. Estou definindo esse valor de SPN no pensamento de controlador de domínio DC é a entidade que irá verificar as credenciais e tudo. Meu pensamento está certo?

Qualquer conselho com esta questão será muito útil para mim e para outras pessoas.

Obrigado ..

[Edit] Só mais uma coisa, eu sou capaz de ping do servidor IIS para 2 outras máquinas no mesmo domínio, mas eu não conseguia pingar o servidor IIS com outras duas máquinas. alguém pode me ajudar a entender por que isso acontece?

    
por Manish Shukla 22.03.2011 / 11:26

2 respostas

1

Como você está executando o pool de aplicativos como TEST \ user-iis, é necessário aplicar o SPN a essa conta. É geralmente aceito que você também deve incluir outro SPN para o nome abreviado do host também. 

setspn -a http/test-iis.test.net TEST\user-iis
setspn -a http/test-iis TEST\user-iis

E apenas para esclarecimento, tudo o que o setspn está fazendo com esses comandos é modificar o atributo "servicePrincipalName" dessa conta de usuário. Se você abrir a caixa de diálogo Propriedades para ela e ir para a guia Atributos, poderá rolar para servicePrincipalName, abri-lo e ver as alterações feitas.

Em relação ao seu problema de ping, verifique o firewall do Windows na caixa IIS. O ICMP não está ativado por padrão.

    
por 19.01.2015 / 21:26
0

Ao usar o comando setspn, não esqueça da conta IWAM, conforme mostrado abaixo:

setspn -a http/test-iis.test.net Domain_name\IWAM_ACCOUNT

Observe que:

  • IWAM_ACCOUNT é a conta usada para executar o pool de aplicativos que você está usando. (deve ser uma conta no nível do domínio)
  • você também deve executar o mesmo comando novamente, mas substituir 'test-iis.test.net' por apenas 'test-iis'

Em relação à sua segunda pergunta, você está correto em que a alteração é feita no Active Directory ... Mas o comando setspn pode ser executado em qualquer servidor no domínio.

    
por 19.05.2011 / 20:05

Tags

Problema ao implementar o site do Django com o mod_wsgi O Nginx não pode ser acessado de fora?