L'authentification Kerberos et la résolution des problèmes de délégation

Traductions disponibles Traductions disponibles
Numéro d'article: 907272 - Voir les produits auxquels s'applique cet article
Colonne d'assistance vocale IIS Developer

L'authentification Kerberos et la résolution des problèmes de délégation

Pour personnaliser cette colonne à vos besoins, nous souhaitons vous inviter à soumettre vos idées sur les sujets qui vous intéressent et problèmes que vous souhaitez voir traités dans de futurs articles de la Base de connaissances et des colonnes Support Voice. Vous pouvez soumettre vos idées et commentaires à l'aide de la Demandez-le . Il existe également un lien vers le formulaire au bas de cette colonne.
Agrandir tout | Réduire tout

Sommaire

Mon nom est Martin Smith et je suis avec Microsoft de Microsoft Groupe de résolution des problèmes critiques d'Internet Information Services (IIS). J'ai été avec Microsoft neuf ans et ont été avec l'équipe IIS tous les neuf ans. J'ai compilé des informations provenant de plusieurs emplacements sur http://msdn.Microsoft.com et http://www.Microsoft.com à propos de Kerberos et comment résoudre les problèmes de délégation.

IIS 6.0

Le livre blanc suivant explique comment configurer la délégation dans Microsoft Windows Server 2003. Le livre blanc contient des informations spécifiques pour L'équilibrage de charge réseau (NLB) inclut excellente de détails sur la configuration un scénario délégué sans l'utilisation de NLB. Pour afficher ce livre blanc, visitez le site Web de Microsoft suivant :
http://technet.Microsoft.com/en-us/library/cc757299.aspx
Remarque : Utiliser des noms principaux de Service HTTP (SPN) en particulier lorsque vous utilisez ÉQUILIBRAGE DE CHARGE RÉSEAU.

Un autre problème Kerberos populaire a récemment été la nécessité de permettre plusieurs pools d'applications à utiliser le même nom DNS. Malheureusement, Lorsque vous utilisez Kerberos pour déléguer les informations d'identification, vous ne pouvez pas lier le même Service Nom principal (SPN) à différents pools d'applications. Vous ne pouvez pas procéder ainsi car de la conception du protocole Kerberos. Le protocole Kerberos requiert plusieurs partagés secrets pour le protocole fonctionne correctement. En utilisant le même nom principal de service pour différents pools d'applications, nous éliminons un de ces secrets partagés. Actif Service d'annuaire Directory ne prendra pas en charge cette configuration de Kerberos protocole en raison du problème de sécurité.

Configurer les SPN dans ce manière entraîne l'échec de l'authentification Kerberos. Solution possible problème serait d'utiliser la transition de protocole. L'authentification initiale entre le client et le serveur exécutant IIS seraient gérés à l'aide de la Protocole d'authentification NTLM. Kerberos prendrait en charge l'authentification entre IIS et le serveur de ressources back-end.

Microsoft Internet Explorer 6 ou version ultérieure

Le navigateur du client peut-être rencontrer des problèmes, tels que la réception invites d'ouverture de session répétées d'identification ou des messages d'erreur « 401 Accès refusé » à partir du serveur qui exécute IIS. Nous avons trouvé les deux problèmes suivants qui peuvent aider à résoudre ces problèmes :
  • Vérifiez que Activer Windows intégrée Authentification est sélectionné dans les propriétés du navigateur. Pour plus d'informations, cliquez sur le numéro ci-dessous Pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    299838Impossible de négocier l'authentification Kerberos après la mise à niveau vers Internet Explorer 6
  • Si la Configuration de sécurité renforcée d'Internet Explorer est activé dans Ajout/Suppression de programmes, vous devez ajouter un site qui utilise la délégation à laSites de confiance liste. Pour plus d'informations, cliquez sur le numéro ci-dessous Pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    815141La Configuration de sécurité renforcée d'Internet Explorer modifie l'expérience de navigation

IIS 5.0 et IIS 6.0

Une fois que vous mettez à niveau à partir de IIS 4.0 vers IIS 5.0 ou IIS 6.0, délégation peut ne pas fonctionner correctement, ou éventuellement une personne ou une application a modifié la propriété de métabase NTAuthenticationProviders. Pour plus d'informations sur la façon de résoudre ce problème, cliquez sur le numéro d'article suivant pour afficher l'article correspondant dans la Base de connaissances Microsoft :
248350L'authentification Kerberos échoue après la mise à niveau à partir de IIS 4.0 vers IIS 5.0

Une zone particulière d'un problème peut se produire lorsque vous définissez le SPN

Déterminer le nom du serveur

Déterminer si vous vous connectez au site Web à l'aide de la nom NetBIOS réel du serveur ou en utilisant un nom d'alias, tel qu'un nom DNS (par exemple, www.microsoft.com). Si vous accédez au serveur Web à l'aide de un autre nom que le nom réel du serveur, un nouveau nom Principal de Service (SPN) doit avoir été inscrit à l'aide de l'outil Setspn à partir de Windows 2000 Kit de ressources de serveur. Car le service d'annuaire Active Directory ne connaître ce nom de service, le service d'accord de ticket (TGS) ne vous confère un ticket pour authentifier l'utilisateur. Ce comportement force le client à utiliser le prochaine méthode d'authentification disponibles, qui est NTLM, pour renégocier. Si le site Web serveur répond à un nom DNS de www.microsoft.com mais le serveur est nommé webserver1.development.microsoft.com, vous devez vous inscrire www.Microsoft.com dans Active Directory sur le serveur qui exécute IIS en cours d'exécution. Pour ce faire, Vous devez télécharger l'outil Setspn et l'installer sur le serveur qui exécute IIS.

Si vous utilisez Windows Server 2003 et IIS 6, l'outil Setspn pour Microsoft Windows Server 2003 est disponible à partir de l'emplacement suivant :
http://support.Microsoft.com/kb/970536
Pour déterminer si vous vous connectez en utilisant le nom réel, Essayez de vous connecter au serveur en utilisant le nom réel du serveur au lieu de le nom DNS. Si vous ne pouvez pas vous connecter au serveur, reportez-vous à la section « Vérifiez l'ordinateur section est approuvé pour la délégation".

Si vous pouvez vous connecter au serveur, Suivez ces étapes pour définir un SPN pour le nom DNS que vous utilisez pour vous connecter sur le serveur :
  1. Installez l'outil Setspn.
  2. Sur le serveur exécutant IIS, ouvrez une invite de commandes, puis Ouvrez le dossier C:\Program Files\Resource Kit.
  3. Exécutez la commande suivante pour ajouter ce nouveau nom principal de service (www.microsoft.com) à Active Directory pour le serveur :
    Setspn - un HTTP/www.microsoft.com webserver1
    Remarque : Dans cette commande, webserver1 représente le nom NetBIOS du serveur.
Sortie est semblable au suivant s'affiche :
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Pour afficher une liste des noms principaux de service sur le serveur pour afficher cette nouvelle valeur, Tapez la commande suivante sur le serveur qui exécute IIS :
Setspn-L nom_serveur_web
Notez que vous n'êtes pas obligé d'inscrire tous les services. Autant de service types, tels que HTTP, W3SVC, Web, RPC, CIFS (accès aux fichiers), WINS, et alimentation sans coupure (UPS), sera mappé à un type de service par défaut est nommé HOST. Par exemple, si votre logiciel client utilise un nom principal de service de HTTP/webserver1.microsoft.com pour créer une connexion HTTP au serveur Web sur le serveur webserver1.microsoft.com, mais ce SPN n'est pas inscrit sur le le serveur, le contrôleur de domaine Windows 2000 mappera automatiquement le connexion à HOST/webserver1.microsoft.com. Ce mappage s'applique uniquement si le Service Web s'exécute sous le compte système local.

Vérifiez que l'ordinateur est approuvé pour la délégation

Si ce serveur exécutant IIS est membre du domaine mais n'est pas un contrôleur de domaine, l'ordinateur doit être approuvé pour la délégation pour que Kerberos fonctionne correctement. Pour ce faire, procédez comme suit :
  1. Dans le contrôleur de domaine, cliquez sur Début, pointez sur Paramètres, puis cliquez sur Contrôle Panneau.
  2. Dans le panneau de configuration, ouvrez Administration Outils.
  3. Double-cliquez sur Les utilisateurs Active Directory et Ordinateurs.
  4. Sous votre domaine, cliquez sur Ordinateurs.
  5. Dans la liste, recherchez le serveur exécutant IIS, cliquez sur le nom du serveur, puis cliquez sur Propriétés.
  6. Cliquez sur le Général onglet, sélectionnez laPour la délégation case à cocher, puis cliquez surOK.
Notez que si plusieurs sites Web ont été atteints par la même URL mais sur des ports différents, la délégation ne fonctionnera pas. Pour ce faire, vous devez utiliser différents noms d'hôtes et les SPN différents. Lorsqu'Internet Explorer demande soit http://www.monsiteweb.com ou http://www.monsiteweb.com: 81, Internet Explorer demande un ticket pour SPN HTTP/www.mywebsite.com. N'ajoute pas d'Internet Explorer le port ou le répertoire virtuel à la demande de nom principal de service. Ce comportement est identique pour http://www.monsiteweb.com/app1 ou http://www.monsiteweb.com/app2. Dans ce scénario, Internet Explorer demande un ticket de SPN http://www.monsiteweb.com à partir de la Distribution de clés Center (KDC). Chaque nom principal de service peut être déclaré uniquement pour une identité. Par conséquent, vous peut également recevoir un message d'erreur KRB_DUPLICATE_SPN si vous essayez de déclarer le présent SPN pour chaque identité.

Microsoft ASP.NET et la délégation

Pour plus d'informations sur la configuration de la délégation des informations d'identification lorsque vous utilisez un ASP.NET application, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
810572Comment faire pour configurer une application ASP.NET pour un scénario de délégation
L'emprunt d'identité et de délégation sont deux méthodes pour un serveur pour l'authentification de la part du client. Décider laquelle de ces méthodes à utiliser et leur implémentation peuvent entraîner une certaine confusion. Vous devez Passez en revue la différence entre ces deux méthodes et examiner laquelle de ces méthodes, que vous souhaiterez peut-être utilisent pour votre application. Ma recommandation serait de Lisez le livre blanc suivant pour plus de détails :
http://msdn2.Microsoft.com/en-us/library/ms998351.aspx

Références

http://technet.Microsoft.com/en-us/library/cc757299.aspx

http://msdn.Microsoft.com/msdnmag/issues/05/09/securitybriefs/default.aspx

305971 Windows 2000 Server vous demande des informations d'identification utilisateur de domaine
262177 Comment faire pour activer l'enregistrement d'événements Kerberos
326985 Comment résoudre les problèmes liés à Kerberos dans IIS
842861 WebCast de support technique TechNet : Résolution des problèmes d'authentification Kerberos avec des applications Web sécurisées et Microsoft SQL Server
Comme toujours, n'hésitez pas à soumettre des idées sur des sujets vous souhaitez adressé dans les chroniques à venir ou dans la Base de connaissances à l'aide du Demander Il .

Propriétés

Numéro d'article: 907272 - Dernière mise à jour: jeudi 30 mai 2013 - Version: 6.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 6.0
Mots-clés : 
kbiis kbhowto kbasp kbmt KB907272 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 907272
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com