Проверка подлинности Kerberos в IIS 7

у нас есть веб-контент, который настраивается в виртуальных каталогах с использованием встроенной проверки подлинности windows. Виртуальные каталоги выполняются в пулах приложений, использующих пользовательское удостоверение (пользовательскую учетную запись пользователя). Проблема в том, что проверка подлинности NTLM работает, но проверка подлинности Kerberos не работает. Это та же конфигурация, которая работала в IIS 6, но нам нужно перейти на IIS 7, и проверка подлинности Kerberos не работает.

вот еще информация о моем окружении:

Параметры Аутентификации Виртуального Каталога:

  • все отключено, кроме проверки подлинности Windows
  • включить аутентификацию в режиме ядра: включено

Настройки Пула Приложений:

  • Режим Управляемого Трубопровода: Классический
  • Identity: пользовательский локальный пользователь

Web.настройки конфигурации:

  • режим проверки подлинности = "Windows"

2 ответов


разрешение

для того, чтобы получить IIS 7 для согласования аутентификации как IIS 6, мне пришлось установить useAppPoolCredentials элемента windowsAuthentication моего виртуального каталога в applicationHost.файл config значение true. Это делается, выполняя одну из следующих команд:

%windir%\system32\inetsrv\appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true

применить к отдельным приложениям:

первый разблокировки :

%windir%\system32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication

затем применить:

%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/myApp/" /section:windowsAuthentication -useAppPoolCredentials:true

Примечание - это на самом деле Kerberos не работает. Что он делает, это заставляет IIS 7 вести себя как IIS 6. Это означает, что если согласование Kerberos между сервером и клиентом завершается неудачно, сервер автоматически возвращается к NTLM. Это на самом деле то, что заставило аутентификацию работать для меня (NTLM).


используете ли вы поставщик Negotiate:Kerberos для проверки подлинности Windows? Если есть проблема вокруг Kerberos, вы можете получить более подробную информацию о проблеме, запустив Сетевой Монитор (или что-то подобное вроде помощью Wireshark) на клиенте, при попытке проверки подлинности. Посмотрите на сообщения в процессе Internet Explorer,и вы можете увидеть некоторые события Kerberos.