La autenticación Kerberos y solución de problemas de delegación

Seleccione idioma Seleccione idioma
Id. de artículo: 907272 - Ver los productos a los que se aplica este artículo
Columna de voz de soporte de desarrollador de IIS

La autenticación Kerberos y solución de problemas de delegación

Para personalizar esta columna a sus necesidades, queremos invitar a que la envíe sus ideas sobre temas de interés para usted y los problemas que desea ver abordaron en próximas columnas de voz de soporte técnico y artículos de Knowledge Base. Puede enviar sus ideas y comentarios utilizando el Solicite . También hay un vínculo al formulario en la parte inferior de esta columna.
Expandir todo | Contraer todo

En esta página

Mi nombre es Martin Smith, y con el grupo de resolución de problemas críticos de Microsoft Internet Information Services (IIS) de Microsoft. Me han estado nueve años en Microsoft y han sido con el equipo de IIS todos los nueve años. He recopilado información desde varias ubicaciones en http://msdn.Microsoft.com y http://www.Microsoft.com acerca de Kerberos y cómo solucionar problemas de delegación.

IIS 6.0

El siguiente documento se describe cómo configurar la delegación en Microsoft Windows Server 2003. Las notas del producto dispone de información específica para el equilibrio de carga en la red (NLB), pero incluye una excelente acerca de cómo configurar un escenario de delegados sin utilizar NLB. Para ver estas notas del producto, visite el siguiente sitio Web de Microsoft:
http://technet.Microsoft.com/en-us/library/cc757299.aspx
Nota Utilice nombres principales de servicio HTTP (SPN), especialmente cuando se utiliza NLB.

Otro problema de Kerberos popular recientemente ha sido la necesidad de permitir que varios grupos de aplicaciones que utilice el mismo nombre DNS. Desafortunadamente, cuando se utiliza Kerberos para delegar las credenciales, no se puede enlazar el mismo nombre Principal de servicio (SPN) para grupos de aplicaciones diferentes. No puede hacerlo debido al diseño de Kerberos. El protocolo Kerberos requiere varios secretos compartidos para el protocolo funcione correctamente. Utilizando el mismo SPN para grupos de aplicaciones diferentes, eliminamos uno de estos secretos compartidos. El servicio de directorio de Active Directory no admite esta configuración del protocolo Kerberos debido a que el problema de seguridad.

Configurar los SPN de esta manera hace que falle la autenticación Kerberos. Una posible solución a este problema sería utilizar la transición de protocolos. La autenticación inicial entre el cliente y el servidor ejecuta IIS podría controlarse mediante el protocolo de autenticación NTLM. Kerberos controlaría la autenticación entre IIS y el servidor back-end de recursos.

Microsoft Internet Explorer 6 o posterior

El explorador del cliente puede experimentar problemas, como la recepción de mensajes repetidos de inicio de sesión para credenciales o mensajes de error "401 Acceso denegado" en el servidor que ejecuta IIS. Hemos encontrado los siguientes dos problemas que pueden ayudar a resolver estos problemas:
  • Compruebe que está seleccionada Habilitar WindowsAuthentication integrado en las propiedades del explorador. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    299838 No se puede negociar la autenticación Kerberos después de actualizar a Internet Explorer 6
  • Si la configuración de seguridad mejorada de Internet Explorer isenabled en Agregar o quitar programas, debe agregar un sitio que utiliza la delegación a la lista desitios de confianza . Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    815141 La configuración de seguridad mejorada de Internet Explorer cambia la experiencia de exploración

IIS 5.0 y 6.0 de IIS

Después de actualizar desde IIS 4.0 a IIS 5.0 o IIS 6.0, la delegación no funcionen correctamente o posiblemente un usuario o una aplicación ha modificado la propiedad de la metabase NTAuthenticationProviders. Para obtener más información acerca de cómo solucionar este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
248350 Se produce un error en la autenticación Kerberos después de la actualización de IIS 4.0 a IIS 5.0

Un área concreta del problema se puede producir cuando defina el SPN

Determinar el nombre del servidor

Determinar si se conecta al sitio Web utilizando el nombre NetBIOS real del servidor o mediante el uso de un nombre de alias, como un nombre DNS (por ejemplo, www.microsoft.com). Si tiene acceso al servidor Web utilizando un nombre que no sea el nombre real del servidor, debe se han registrado un nuevo nombre Principal de servicio (SPN) mediante el uso de la herramienta Setspn del Kit de recursos de Windows 2000 Server. Dado que el servicio de directorio de Active Directory no conoce el nombre de este servicio, el servicio de concesión de vales (TGS) no da un vale para autenticar al usuario. Este comportamiento obliga al cliente a utilizar el siguiente método de autenticación disponibles, que es NTLM, para volver a negociar. Si el servidor Web responde a un nombre DNS de www.microsoft.com, pero el servidor se denomina webserver1.development.microsoft.com, debe registrar en el servidor que ejecuta IIS ejecuta www.microsoft.com en Active Directory. Para ello, debe descargar la herramienta Setspn e instalarlo en el servidor que está ejecutando IIS.

Si está utilizando IIS 6 y Windows Server 2003, la herramienta Setspn para Microsoft Windows Server 2003 está disponible en la siguiente ubicación:
http://support.Microsoft.com/kb/970536
Para determinar si se está conectando con el nombre real, intente conectar con el servidor con el nombre real del servidor en lugar del nombre DNS. Si no puede conectarse al servidor, consulte la sección "Comprobar el equipo es de confianza para la delegación".

Si puede conectarse al servidor, siga estos pasos para configurar un SPN para el nombre DNS que utiliza para conectarse al servidor:
  1. Instale la herramienta Setspn.
  2. En el servidor que ejecuta IIS, abra un símbolo del sistema y la carpeta C:\Program programa\Resource Kit de thenopen.
  3. Ejecute el siguiente comando para agregar este nuevo SPN (www.microsoft.com) a Active Directory para el servidor:
    Setspn - A HTTP/www.microsoft.com webserver1
    Nota En este comando, webserver1 reconoce el nombre de NetBIOS del servidor.
Recibirá un resultado similar al siguiente:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Para ver una lista de SPN en el servidor para ver este nuevo valor, escriba el siguiente comando en el servidor que ejecuta IIS:
Setspn -L NombreDeServidorWeb
Tenga en cuenta que no es necesario registrar todos los servicios. Muchos de los tipos de servicio, como fuente de HTTP, W3SVC, WWW, RPC, CIFS (acceso a archivos), WINS y sistema de alimentación ininterrumpida (UPS), se asignarán a un tipo de servicio predeterminado que se denomina HOST. Por ejemplo, si el software de cliente utiliza un SPN de HTTP/webserver1.microsoft.com para crear una conexión HTTP con el servidor Web en el servidor webserver1.microsoft.com, pero este SPN no está registrado en el servidor, el controlador de dominio de Windows 2000 asignará automáticamente la conexión a HOST/webserver1.microsoft.com. Esta asignación se aplica sólo si el servicio Web se ejecuta en la cuenta de sistema local.

Compruebe que el equipo es de confianza para la delegación

Si este servidor que ejecuta IIS es un miembro del dominio, pero no es un controlador de dominio, el equipo debe ser de confianza para la delegación de Kerberos funcione correctamente. Para ello, siga estos pasos:
  1. En el controlador de dominio, haga clic en Inicio, seleccione configuracióny, a continuación, haga clic en panel de control.
  2. En el Panel de Control, abra el panel de control.
  3. Haga doble clic en andComputers de usuarios de Active Directory.
  4. En su dominio, haga clic en equipos.
  5. En la lista, busque el servidor que ejecuta IIS, haga clic en el nombre de servidor y, a continuación, haga clic en Propiedades.
  6. Haga clic en la ficha General , haga clic para activar la casilla de verificación deconfianza para la delegación y, a continuación, haga clic enAceptar.
Tenga en cuenta que si se alcanzan varios sitios Web por la misma dirección URL sino en puertos diferentes, la delegación no funcionará. Para que esto funcione, debe utilizar diferentes nombres de host y SPN diferentes. Cuando Internet Explorer solicita o http://www.MiSitioWeb.com o http://www.MiSitioWebcom: 81, Internet Explorer solicita un vale para el SPN HTTP/www.mywebsite.com. Internet Explorer no agrega el puerto o el directorio virtual a la solicitud SPN. Este comportamiento es el mismo de http://www.MiSitioWeb.com/app1 o http://www.MiSitioWeb.com/app2. En esta situación, Internet Explorer solicitará un vale de SPN http://www.MiSitioWeb.com desde el centro de distribución de claves (KDC). Cada SPN se puede declarar sólo para una identidad. Por lo tanto, también recibirá un mensaje de error KRB_DUPLICATE_SPN si intenta declarar este SPN para cada identidad.

Delegación y Microsoft ASP.NET

Para obtener más información sobre la configuración de la delegación de credenciales al utilizar una aplicación de ASP.NET, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
810572 Cómo configurar una aplicación ASP.NET para un escenario de delegación
Suplantación y delegación son dos métodos para un servidor autenticar en el nombre del cliente. Decidir cuál de estos métodos para utilizar y su implementación puede crear alguna confusión. Debe revisar la diferencia entre estos dos métodos y examinar cuál de estos métodos puede utilizar para la aplicación. Mi recomendación sería leer las siguientes notas del producto para obtener más información:
http://msdn2.Microsoft.com/en-us/library/ms998351.aspx

Referencias

http://technet.Microsoft.com/en-us/library/cc757299.aspx

http://msdn.Microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server le pedirá las credenciales de usuario del dominio
262177 Cómo habilitar el registro de sucesos de Kerberos
326985 Cómo solucionar problemas relacionados con Kerberos en IIS
842861 Presentación técnica de soporte: Solución de problemas de la autenticación Kerberos con aplicaciones Web seguras y Microsoft SQL Server
Como siempre, no dude en enviar ideas sobre temas que desee abordarse en próximas columnas o en la Base de conocimientos mediante la Solicite .

Propiedades

Id. de artículo: 907272 - Última revisión: jueves, 06 de febrero de 2014 - Versión: 8.0
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 6.0
Palabras clave: 
kbiis kbhowto kbasp kbmt KB907272 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 907272

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com