A autenticação Kerberos e como solucionar problemas de delegação

Traduções deste artigo Traduções deste artigo
ID do artigo: 907272 - Exibir os produtos aos quais esse artigo se aplica.
IIS Developer Support Voice column

A autenticação Kerberos e como solucionar problemas de delegação

Para personalizar esta coluna às suas necessidades, queremos convidá-lo para enviar suas idéias sobre tópicos que interessam a você e problemas que você deseja ver abordados em futuros artigos do Knowledge Base e colunas de voz de suporte. Você pode enviar suas idéias e comentários usando o Peça para ele formulário. Há também um link para o formulário na parte inferior desta coluna.
Expandir tudo | Recolher tudo

Neste artigo

Meu nome é Martin Smith e estou com Microsoft da Microsoft Grupo de resolução de problemas críticos de Internet Information Services (IIS). Tenho foi com a Microsoft nove anos e ter sido com a equipe do IIS, todos os nove anos. Já compilei informações de vários locais no http://msdn.microsoft.com e http://www.microsoft.com sobre o Kerberos e como Solucione problemas de delegação.

IIS 6.0

O seguinte white paper descreve como configurar a delegação no Microsoft Windows Server 2003. O white paper tem informações específicas para Balanceamento de carga de rede (NLB) mas não inclui excelentes detalhes sobre como configurar um cenário delegado sem usar o NLB. Para visualizar este white paper, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/cc757299.aspx
Observação Use nomes principais de serviço HTTP (SPNs), especialmente quando você usa NLB.

Outro problema Kerberos popular recentemente foi a necessidade de Permitir vários pools de aplicativos usar o mesmo nome DNS. Infelizmente, Quando você usa o Kerberos para delegar credenciais, você não pode vincular o mesmo serviço Nome principal (SPN) para pools de aplicativos diferentes. Você não pode fazer isso porque do design do Kerberos. O protocolo Kerberos requer vários compartilhados segredos para o protocolo funcione corretamente. Usando o mesmo SPN para diferentes pools de aplicativos, podemos eliminar um desses segredos compartilhados. O ativo Serviço de diretório do diretório não oferecerá suporte a essa configuração do Kerberos protocolo devido o problema de segurança.

Configurando os SPNs neste maneira faz com que a autenticação Kerberos falha. Uma possível solução para isso problema seria usar a transição de protocolo. A autenticação inicial entre o cliente e o servidor executando IIS seria manipulada usando o Protocolo de autenticação NTLM. Kerberos trataria a autenticação entre O IIS e o servidor de recursos de back-end.

Microsoft Internet Explorer 6 ou posterior

O navegador do cliente pode enfrentar problemas, como recebimento prompts de logon repetidas para credenciais ou mensagens de erro "401 acesso negado" no servidor executando o IIS. Encontramos dois problemas a seguir que podem ajuda a resolver esses problemas:
  • Verifique se Habilitar integrada do Windows Autenticação está selecionada nas propriedades do navegador. Para obter mais informações, clique no seguinte número de artigo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    299838Não é possível negociar a autenticação Kerberos após atualizar para o Internet Explorer 6
  • Se a configuração de segurança reforçada do Internet Explorer ativado em Adicionar ou remover programas, você deve adicionar um site que usa a delegação para oSites confiáveis lista. Para obter mais informações, clique no seguinte número de artigo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    815141A configuração de segurança reforçada do Internet Explorer altera a experiência de navegação

IIS 5.0 e IIS 6.0

Após atualizar do IIS 4.0 para o IIS 5.0 ou IIS 6.0, a delegação pode não funcionar corretamente, ou talvez alguém ou um aplicativo tenha modificado a propriedade de metabase NTAuthenticationProviders. Para obter mais informações sobre como corrigir esse problema, clique no número de artigo abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
248350A autenticação Kerberos falha após a atualização do IIS 4.0 para o IIS 5.0

Uma área específica do problema pode ocorrer quando você definir o SPN

Determinar o nome do servidor

Determinar se você estiver se conectando ao site da Web usando o nome de NetBIOS real do servidor ou usando um nome de alias, como um nome de DNS (por exemplo, www.microsoft.com). Se você estiver acessando o servidor Web, usando um nome diferente do nome real do servidor, um novo nome Principal de serviço (SPN) deve ter sido registrado usando a ferramenta Setspn do Windows 2000 Server Resource Kit. Porque o serviço de diretório do Active Directory não saber o nome de serviço, o serviço de concessão de tíquete (TGS) não lhe dá um permissão para autenticar o usuário. Esse comportamento força o cliente a usar o próximo método de autenticação disponíveis, que é NTLM, para renegociar. Se a Web servidor está respondendo a um nome DNS de www.microsoft.com, mas o servidor é denominado webserver1.development.microsoft.com, você deve se registrar www.microsoft.com no Active Directory no servidor que está executando o IIS. Para fazer isso, Você deve baixar a ferramenta Setspn e instalá-lo no servidor que está executando o IIS.

Se você estiver usando o Windows Server 2003 e IIS 6, a ferramenta Setspn para Microsoft Windows Server 2003 está disponível no seguinte local:
http://support.microsoft.com/KB/970536
Para determinar se você estiver se conectando usando o nome real, Tente se conectar ao servidor usando o nome real do servidor em vez de o nome DNS. Se você não pode se conectar ao servidor, consulte "verificar o computador seção é confiável para delegação".

Se você pode se conectar ao servidor, Siga estas etapas para definir um SPN para o nome DNS que você está usando para se conectar para o servidor:
  1. Instale a ferramenta Setspn.
  2. No servidor que executa o IIS, abra um prompt de comando e, em seguida, Abra a pasta C:\Program programas\Resource Kit.
  3. Execute o seguinte comando para adicionar esse novo SPN (www.microsoft.com) para o Active Directory para o servidor:
    Setspn - A HTTP/www.microsoft.com webserver1
    Observação Neste comando, webserver1 representa o nome NetBIOS do servidor.
Você recebe uma saída semelhante à seguinte:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com
Updated object
Para exibir uma listagem de SPNs no servidor para ver esse novo valor Digite o seguinte comando no servidor executando o IIS:
Setspn -L webservername
Observe que você não precisa registrar todos os serviços. Muitos serviços tipos, como HTTP, W3SVC, WWW, RPC, CIFS (acesso de arquivo), WINS, e fonte de alimentação ininterrupta (UPS), será mapeado para um tipo de serviço padrão que é o nome de HOST. Por exemplo, se o software cliente usa um SPN do HTTP/webserver1.microsoft.com para criar uma conexão HTTP para o servidor Web em o servidor de webserver1.microsoft.com, mas esse SPN não está registrado o servidor, o controlador de domínio do Windows 2000 automaticamente mapeará o conexão com HOST/webserver1.microsoft.com. Este mapeamento só se aplica se o Serviço da Web está sendo executado sob a conta sistema local.

Verifique se o computador é confiável para delegação

Se este servidor que executa o IIS é um membro do domínio mas não é um controlador de domínio, o computador deve ser confiável para delegação de Kerberos funcione corretamente. Para fazer isso, execute estas etapas:
  1. No controlador de domínio, clique em Iniciar, aponte para Configuraçõese, em seguida, clique em Controle Painel.
  2. No painel de controle, abra Administrativo Ferramentas.
  3. Clique duas vezes em Usuários do Active Directory e Computadores.
  4. Em seu domínio, clique em Computadores.
  5. Na lista, localize o servidor que executa o IIS, clique com botão direito do nome do servidor e clique em Propriedades.
  6. Clique no Geral guia, clique para selecionar oConfiável para delegação caixa de seleção e, em seguida, clique emOK.
Observe que, se vários sites da Web são alcançados com a mesma URL, mas em portas diferentes, delegação não funcionará. Para fazer isso funcionar, você deve usar nomes de host diferentes e SPNs diferentes. Quando Internet Explorer solicita http://www.Meu_Site.com ou http://www.Meu_Site.com:81, Internet Explorer solicita uma permissão para SPN HTTP/www.mywebsite.com. Internet Explorer não adiciona a porta ou o vdir à solicitação de SPN. Esse comportamento é o mesmo para http://www.Meu_Site.com/app1 ou http://www.Meu_Site.com/app2. Nesse cenário, Internet Explorer irá solicitar uma permissão para SPN http://www.Meu_Site.com de distribuição de chaves Center (KDC). Cada SPN pode ser declarada apenas para uma identidade. Portanto, você também deve receber uma mensagem de erro KRB_DUPLICATE_SPN se você tentar declarar isso SPN para cada identidade.

Microsoft ASP.NET e delegação

Para obter mais informações sobre a configuração para a delegação de credenciais quando você usa um ASP.NET aplicativo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
810572Como configurar um aplicativo ASP.NET para um cenário de delegação
Representação e delegação são dois métodos para um servidor para autenticar em nome do cliente. A decisão de qual deles métodos a serem usados e sua implementação podem causar alguma confusão. Você deve Analise a diferença entre esses dois métodos e examinar quais dessas métodos, que você poderá usam para seu aplicativo. Minha recomendação seria Leia o seguinte white paper para obter mais detalhes:
http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referências

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server solicita credenciais de usuário do domínio
262177 Como ativar o log de evento Kerberos
326985 Como solucionar problemas relacionados ao Kerberos no IIS
842861 Suporte do TechNet WebCast: Solucionando problemas de autenticação Kerberos com aplicativos da Web seguros e Microsoft SQL Server
Como sempre, fique à vontade para enviar idéias sobre tópicos você pode ser endereçado em colunas futuras ou na Base de dados de conhecimento usando o Pedir Ele formulário.

Propriedades

ID do artigo: 907272 - Última revisão: quinta-feira, 30 de maio de 2013 - Revisão: 6.0
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbiis kbhowto kbasp kbmt KB907272 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 907272

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com