A autenticação Kerberos e resolução de problemas de delegação

O meu nome estiver Martin Silva e tenho com a Microsoft da Microsoft Grupo de resolução de problemas críticos de serviços de informação Internet (IIS). Tenho foi com a Microsoft nove anos e ter sido, com a equipa IIS, todos os nove anos. Posso compilou informações a partir de várias localizações http://msdn.microsoft.com e http://www.microsoft.com sobre Kerberos e como resolver problemas de delegação.

IIS 6.0

A seguinte documentação técnica descreve como configurar a delegação no Microsoft Windows Server 2003. A documentação técnica tem informações específicas para Balanceamento de carga em rede (NLB) mas inclui excelente detalhes sobre como configurar um cenário delegado sem utilizar o NLB. Para ver esta documentação técnica, visite o Web site da Microsoft: Nota Utilizar nomes principais de serviço HTTP (SPN), especialmente quando utilizar NLB.

Outro problema de Kerberos popular recentemente foi a necessidade de permita vários agrupamentos de aplicações para utilizar o mesmo nome DNS. Infelizmente, Quando utiliza o Kerberos delegar credenciais, não é possível vincular o mesmo serviço Nome principal (SPN) para agrupamentos de aplicações diferentes. Isto não é possível porque da concepção de Kerberos. O protocolo Kerberos requer vários partilhados segredos para o protocolo poderá funcionar correctamente. Utilizando o mesmo SPN para diferentes agrupamentos de aplicações, vamos eliminar um destes segredos partilhados. O Active Directory Serviço de directório do não suporta esta configuração do Kerberos protocolo devido o problema de segurança.

Configurar o SPN na presente forma provoca a falha da autenticação Kerberos. Uma possível solução para este problema seria utilizar o protocolo em transição. A autenticação inicial entre o cliente e o servidor a executar o IIS seria processada utilizando o Protocolo de autenticação NTLM. Kerberos seria a processar a autenticação entre O IIS e o servidor de back-end de recursos.

Microsoft Internet Explorer 6 ou posterior

O browser cliente, poderá detectar problemas, tais como recepção início de sessão repetido pede credenciais ou mensagens de erro "401 Acesso negado" o servidor com o IIS. Verificámos que as seguintes questões que podem ajuda a resolver estes problemas:

• Verifique se Activar integrada do Windows Autenticação está seleccionada nas propriedades do browser. Para mais informações, clique no seguinte número de artigo para visualizar o artigo na Microsoft Knowledge Base:
  299838

  (http://support.microsoft.com/kb/299838/ )

  Não foi possível negociar a autenticação Kerberos depois de actualizar para o Internet Explorer 6
• Se estiver a configuração de segurança avançada do Internet Explorer activada em Adicionar/remover programas, tem de adicionar um site que utiliza a delegação para oSites fidedignos lista. Para mais informações, clique no seguinte número de artigo para visualizar o artigo na Microsoft Knowledge Base:
  815141

  (http://support.microsoft.com/kb/815141/ )

  A configuração de segurança avançada do Internet Explorer altera a experiência de navegação

IIS 5.0 e IIS 6.0

Depois da actualização do IIS 4.0 para IIS 5.0 ou IIS 6.0, delegação poderá não funcionar correctamente, ou eventualmente alguém ou uma aplicação tiver modificado a propriedade da metabase NTAuthenticationProviders. Para mais informações sobre como corrigir este problema, faça clique sobre o número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

Uma área específica do problema pode ocorrer quando definir o SPN

Determinar o nome do servidor

Determinar se está a ligar ao Web site utilizando o nome de NetBIOS real do servidor ou utilizando um nome de alias, tal como um nome de DNS (por exemplo, www.microsoft.com). Se está acessando o servidor Web utilizando um nome diferente do nome real do servidor, um novo nome de Principal de serviço (SPN) tem de ter sido registado utilizando a ferramenta Setspn do Windows 2000 Server Resource Kit. Uma vez que o serviço de directório do Active Directory não souber este nome de serviço, o serviço de concessão de permissão (TGS) não concede a uma permissão para autenticar o utilizador. Este comportamento obriga o cliente para utilizar o próximo método de autenticação disponível, que é o NTLM, renegociar. Se a Web servidor está a responder a um nome DNS de www.microsoft.com, mas o servidor denominado webserver1.development.microsoft.com, tem de registar www.microsoft.com no Active Directory no servidor que está a ser executado com o IIS. Para tal, tem de transferir a ferramenta Setspn e instalá-lo no servidor que está a executar o IIS.

Se estiver a utilizar o Windows Server 2003 e IIS 6, a ferramenta Setspn para Microsoft Windows Server 2003 está disponível na seguinte localização:Para determinar se está a ligar utilizando o nome real, Tente ligar ao servidor utilizando o nome real do servidor em vez de o nome DNS. Se não conseguir ligar ao servidor, consulte "verificar o computador secção é fidedigno para delegação".

Se conseguir ligar ao servidor Siga estes passos para definir um SPN para o nome DNS que está a utilizar para ligar para o servidor:

1. Instale a ferramenta Setspn.
2. No servidor a executar o IIS, abra uma linha de comandos e, em seguida Abra a pasta C:\Program Files\Resource Kit.
3. Execute o seguinte comando para adicionar este novo SPN (www.microsoft.com) para o Active Directory para o servidor:
   Setspn - A HTTP/www.microsoft.com servidorweb1
   Nota Neste comando, servidorweb1 representa o nome de NetBIOS do servidor.

Receberá um resultado semelhante ao seguinte:
Para ver uma lista de SPNs no servidor para ver este novo valor, Escreva o seguinte comando no servidor a executar o IIS: Tenha em atenção que não é necessário registar todos os serviços. Número de serviço tipos, tais como HTTP, W3SVC, WWW, RPC, CIFS (acesso a ficheiros), WINS, e alimentação ininterrupta (UPS), irá mapear para um tipo de serviço predefinido que é o nome de anfitrião. Por exemplo, se o software de cliente utiliza um SPN de HTTP/webserver1.microsoft.com para criar uma ligação HTTP ao servidor Web em o servidor de webserver1.microsoft.com, mas este SPN não está registado no servidor, o controlador de domínio do Windows 2000 automaticamente mapeará o ligação HOST/webserver1.microsoft.com. Este mapeamento só se aplica se o Serviço Web está em execução sob a conta de sistema local.

Verificar se o computador é fidedigno para delegação

Se este servidor a executar o IIS é um membro do domínio mas não é um controlador de domínio, o computador tem de ser fidedigno para delegação para Kerberos para funcione correctamente. Para tal, siga estes passos:

1. No controlador de domínio, clique em Iniciar, aponte para Definiçõese, em seguida, clique em Controlo Painel.
2. No painel de controlo, abra Administrativas Ferramentas.
3. Faça duplo clique em Utilizadores do Active Directory e Computadores.
4. Em seu domínio, clique em Computadores.
5. Na lista, localize o servidor a executar o IIS, o botão direito do rato a nome do servidor e, em seguida, clique Propriedades.
6. Faça clique sobre o Geral separador, clique para seleccionar oFidedigno para delegação caixa de verificação e, em seguida, clique emOK.

Tenha em atenção que se múltiplos Web sites forem atingidos pelo mesmo URL mas portas diferentes, delegação não funcionará. Para tornar este trabalho, tem de utilizar diferentes nomes de anfitriões e SPNs diferentes. Quando o Internet Explorer solicita quer http://www.meuwebsite.com ou http://www.meuwebsite.com:81, o Internet Explorer pedidos um bilhete de SPN HTTP/www.mywebsite.com. Internet Explorer não adiciona a porta ou vdir ao pedido de SPN. Este comportamento é o mesmo para http://www.meuwebsite.com/app1 ou http://www.meuwebsite.com/app2. Neste cenário, Internet Explorer irá solicitar uma permissão para SPN http://www.meuwebsite.com de distribuição de chaves Center (KDC). Cada SPN pode ser declarada apenas para uma identidade. Por conseguinte, que seria também receber uma mensagem de erro KRB_DUPLICATE_SPN se tentar declarar esse SPN para cada identidade.

Delegação e o Microsoft ASP.NET

Para mais informações sobre a configuração para delegar credenciais quando utiliza um ASP.NET aplicação, clique no número de artigo seguinte para visualizar o artigo do Base de dados de conhecimento da Microsoft: Representação e delegação são dois métodos para um servidor para autenticar em nome do cliente. Decidir qual das seguintes métodos a utilizar e a respectiva aplicação podem causar alguma confusão. Tem de Reveja a diferença entre estes dois métodos e examinar qual das seguintes métodos que poderá utilizam para a aplicação. Meu recomendação seria ler a seguinte documentação técnica para obter mais detalhes: