A autenticação Kerberos e resolução de problemas de delegação

Traduções de Artigos Traduções de Artigos
Artigo: 907272 - Ver produtos para os quais este artigo se aplica.
Coluna de voz de suporte de programação do IIS

A autenticação Kerberos e resolução de problemas de delegação

Para personalizar esta coluna às suas necessidades, pretendemos convidá-lo para submeter as suas ideias sobre tópicos que interessam problemas que pretende ver e corrigida no futuro artigos da Base de dados de conhecimento e de colunas de voz de suporte. Pode submeter ideias e comentários utilizando a Pedir formulário. Existe também uma hiperligação para o formulário na parte inferior desta coluna.
Expandir tudo | Reduzir tudo

Nesta página

O meu nome estiver Martin Silva e tenho com a Microsoft da Microsoft Grupo de resolução de problemas críticos de serviços de informação Internet (IIS). Tenho foi com a Microsoft nove anos e ter sido, com a equipa IIS, todos os nove anos. Posso compilou informações a partir de várias localizações http://msdn.microsoft.com e http://www.microsoft.com sobre Kerberos e como resolver problemas de delegação.

IIS 6.0

A seguinte documentação técnica descreve como configurar a delegação no Microsoft Windows Server 2003. A documentação técnica tem informações específicas para Balanceamento de carga em rede (NLB) mas inclui excelente detalhes sobre como configurar um cenário delegado sem utilizar o NLB. Para ver esta documentação técnica, visite o Web site da Microsoft:
http://technet.microsoft.com/en-us/library/cc757299.aspx
Nota Utilizar nomes principais de serviço HTTP (SPN), especialmente quando utilizar NLB.

Outro problema de Kerberos popular recentemente foi a necessidade de permita vários agrupamentos de aplicações para utilizar o mesmo nome DNS. Infelizmente, Quando utiliza o Kerberos delegar credenciais, não é possível vincular o mesmo serviço Nome principal (SPN) para agrupamentos de aplicações diferentes. Isto não é possível porque da concepção de Kerberos. O protocolo Kerberos requer vários partilhados segredos para o protocolo poderá funcionar correctamente. Utilizando o mesmo SPN para diferentes agrupamentos de aplicações, vamos eliminar um destes segredos partilhados. O Active Directory Serviço de directório do não suporta esta configuração do Kerberos protocolo devido o problema de segurança.

Configurar o SPN na presente forma provoca a falha da autenticação Kerberos. Uma possível solução para este problema seria utilizar o protocolo em transição. A autenticação inicial entre o cliente e o servidor a executar o IIS seria processada utilizando o Protocolo de autenticação NTLM. Kerberos seria a processar a autenticação entre O IIS e o servidor de back-end de recursos.

Microsoft Internet Explorer 6 ou posterior

O browser cliente, poderá detectar problemas, tais como recepção início de sessão repetido pede credenciais ou mensagens de erro "401 Acesso negado" o servidor com o IIS. Verificámos que as seguintes questões que podem ajuda a resolver estes problemas:
  • Verifique se Activar integrada do Windows Autenticação está seleccionada nas propriedades do browser. Para mais informações, clique no seguinte número de artigo para visualizar o artigo na Microsoft Knowledge Base:
    299838Não foi possível negociar a autenticação Kerberos depois de actualizar para o Internet Explorer 6
  • Se estiver a configuração de segurança avançada do Internet Explorer activada em Adicionar/remover programas, tem de adicionar um site que utiliza a delegação para oSites fidedignos lista. Para mais informações, clique no seguinte número de artigo para visualizar o artigo na Microsoft Knowledge Base:
    815141A configuração de segurança avançada do Internet Explorer altera a experiência de navegação

IIS 5.0 e IIS 6.0

Depois da actualização do IIS 4.0 para IIS 5.0 ou IIS 6.0, delegação poderá não funcionar correctamente, ou eventualmente alguém ou uma aplicação tiver modificado a propriedade da metabase NTAuthenticationProviders. Para mais informações sobre como corrigir este problema, faça clique sobre o número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
248350A autenticação Kerberos falha depois de actualizar a partir do IIS 4.0 para IIS 5.0

Uma área específica do problema pode ocorrer quando definir o SPN

Determinar o nome do servidor

Determinar se está a ligar ao Web site utilizando o nome de NetBIOS real do servidor ou utilizando um nome de alias, tal como um nome de DNS (por exemplo, www.microsoft.com). Se está acessando o servidor Web utilizando um nome diferente do nome real do servidor, um novo nome de Principal de serviço (SPN) tem de ter sido registado utilizando a ferramenta Setspn do Windows 2000 Server Resource Kit. Uma vez que o serviço de directório do Active Directory não souber este nome de serviço, o serviço de concessão de permissão (TGS) não concede a uma permissão para autenticar o utilizador. Este comportamento obriga o cliente para utilizar o próximo método de autenticação disponível, que é o NTLM, renegociar. Se a Web servidor está a responder a um nome DNS de www.microsoft.com, mas o servidor denominado webserver1.development.microsoft.com, tem de registar www.microsoft.com no Active Directory no servidor que está a ser executado com o IIS. Para tal, tem de transferir a ferramenta Setspn e instalá-lo no servidor que está a executar o IIS.

Se estiver a utilizar o Windows Server 2003 e IIS 6, a ferramenta Setspn para Microsoft Windows Server 2003 está disponível na seguinte localização:
http://support.microsoft.com/KB/970536
Para determinar se está a ligar utilizando o nome real, Tente ligar ao servidor utilizando o nome real do servidor em vez de o nome DNS. Se não conseguir ligar ao servidor, consulte "verificar o computador secção é fidedigno para delegação".

Se conseguir ligar ao servidor Siga estes passos para definir um SPN para o nome DNS que está a utilizar para ligar para o servidor:
  1. Instale a ferramenta Setspn.
  2. No servidor a executar o IIS, abra uma linha de comandos e, em seguida Abra a pasta C:\Program Files\Resource Kit.
  3. Execute o seguinte comando para adicionar este novo SPN (www.microsoft.com) para o Active Directory para o servidor:
    Setspn - A HTTP/www.microsoft.com servidorweb1
    Nota Neste comando, servidorweb1 representa o nome de NetBIOS do servidor.
Receberá um resultado semelhante ao seguinte:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Para ver uma lista de SPNs no servidor para ver este novo valor, Escreva o seguinte comando no servidor a executar o IIS:
Setspn -L NomeDoServidorWeb
Tenha em atenção que não é necessário registar todos os serviços. Número de serviço tipos, tais como HTTP, W3SVC, WWW, RPC, CIFS (acesso a ficheiros), WINS, e alimentação ininterrupta (UPS), irá mapear para um tipo de serviço predefinido que é o nome de anfitrião. Por exemplo, se o software de cliente utiliza um SPN de HTTP/webserver1.microsoft.com para criar uma ligação HTTP ao servidor Web em o servidor de webserver1.microsoft.com, mas este SPN não está registado no servidor, o controlador de domínio do Windows 2000 automaticamente mapeará o ligação HOST/webserver1.microsoft.com. Este mapeamento só se aplica se o Serviço Web está em execução sob a conta de sistema local.

Verificar se o computador é fidedigno para delegação

Se este servidor a executar o IIS é um membro do domínio mas não é um controlador de domínio, o computador tem de ser fidedigno para delegação para Kerberos para funcione correctamente. Para tal, siga estes passos:
  1. No controlador de domínio, clique em Iniciar, aponte para Definiçõese, em seguida, clique em Controlo Painel.
  2. No painel de controlo, abra Administrativas Ferramentas.
  3. Faça duplo clique em Utilizadores do Active Directory e Computadores.
  4. Em seu domínio, clique em Computadores.
  5. Na lista, localize o servidor a executar o IIS, o botão direito do rato a nome do servidor e, em seguida, clique Propriedades.
  6. Faça clique sobre o Geral separador, clique para seleccionar oFidedigno para delegação caixa de verificação e, em seguida, clique emOK.
Tenha em atenção que se múltiplos Web sites forem atingidos pelo mesmo URL mas portas diferentes, delegação não funcionará. Para tornar este trabalho, tem de utilizar diferentes nomes de anfitriões e SPNs diferentes. Quando o Internet Explorer solicita quer http://www.meuwebsite.com ou http://www.meuwebsite.com:81, o Internet Explorer pedidos um bilhete de SPN HTTP/www.mywebsite.com. Internet Explorer não adiciona a porta ou vdir ao pedido de SPN. Este comportamento é o mesmo para http://www.meuwebsite.com/app1 ou http://www.meuwebsite.com/app2. Neste cenário, Internet Explorer irá solicitar uma permissão para SPN http://www.meuwebsite.com de distribuição de chaves Center (KDC). Cada SPN pode ser declarada apenas para uma identidade. Por conseguinte, que seria também receber uma mensagem de erro KRB_DUPLICATE_SPN se tentar declarar esse SPN para cada identidade.

Delegação e o Microsoft ASP.NET

Para mais informações sobre a configuração para delegar credenciais quando utiliza um ASP.NET aplicação, clique no número de artigo seguinte para visualizar o artigo do Base de dados de conhecimento da Microsoft:
810572Como configurar uma aplicação do ASP.NET para um cenário de delegação
Representação e delegação são dois métodos para um servidor para autenticar em nome do cliente. Decidir qual das seguintes métodos a utilizar e a respectiva aplicação podem causar alguma confusão. Tem de Reveja a diferença entre estes dois métodos e examinar qual das seguintes métodos que poderá utilizam para a aplicação. Meu recomendação seria ler a seguinte documentação técnica para obter mais detalhes:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referências

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server pede as credenciais de utilizador do domínio
262177 Como activar o registo de eventos de Kerberos
326985 Como resolver problemas relacionados com Kerberos no IIS
842861 WebCast de suporte da TechNet: Resolução de problemas de autenticação Kerberos com aplicações Web seguras e o Microsoft SQL Server
Como sempre, não hesite em submeter ideias sobre os tópicos pretende referidas nas colunas futuras ou na Knowledge Base utilizando o Pedir - formulário.

Propriedades

Artigo: 907272 - Última revisão: 30 de maio de 2013 - Revisão: 6.0
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbiis kbhowto kbasp kbmt KB907272 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 907272

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com