مصادقة Kerberos مع استكشاف الأخطاء وإصلاحها التفويض

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية907272
عمود الصوت دعم المطور IIS

مصادقة Kerberos مع استكشاف الأخطاء وإصلاحها التفويض

لتخصيص هذا العمود إلى احتياجاتك، نرغب في دعوتك إلى إرسال أفكارك حول مواضيع تهمك والمشكلات التي تريد أن ترى تناولها في مقالات قاعدة المعارف القادمة والأعمدة "دعم الصوت". يمكنك إرسال أفكارك واستخدام الملاحظات السؤال عنه . يوجد أيضا ارتباط إلى النموذج في الجزء السفلي من هذا العمود.
اسمي سمير مارتن، وأنا مع Microsoft ل Microsoft مجموعة حل المشكلات الهامة خدمات معلومات إنترنت (IIS). ليس لدى تم مع Microsoft سنوات تسعة وكانت مع الفريق IIS كافة السنوات تسعة. لقد جمعت المعلومات من مواقع متعددة على http://msdn.microsoft.com و http://www.microsoft.com حول Kerberos وكيفية استكشاف مشكلات التفويض.

IIS 6.0

الورقة البيضاء التالية توضح كيفية إعداد تفويض في نظام التشغيل Microsoft Windows Server 2003. المستند التقني لديها معلومات محددة عن يتضمن موازنة تحميل شبكة الاتصال (NLB) لكن ممتازة التفاصيل حول كيفية إعداد سيناريو مفوضة دون استخدام NLB. لعرض هذا المستند، قم بزيارة موقع ويب Microsoft التالية: ملاحظة استخدام أسماء HTTP خدمة أساسي (Spn) خاصة عند استخدام NLB.

آخر شعبية Kerberos المشكلة مؤخرا تم الحاجة إلى السماح لعدة تجمعات التطبيقات لاستخدام نفس اسم DNS. لسوء الحظ، عند استخدام Kerberos تفويض بيانات الاعتماد، لا يمكنك ربط نفس الخدمة الرئيسي اسم (SPN) لتجمعات تطبيقات مختلفة. لا يمكن القيام بذلك لأن تصميم Kerberos. يتطلب بروتوكول Kerberos متعددة مشتركة أسرار لبروتوكول للعمل بشكل صحيح. باستخدام نفس SPN مختلفة تجمعات التطبيقات، علينا إزالة أحد هذه الأسرار المشتركة. النشط دليل خدمة الدليل لا تعتمد هذا التكوين من Kerberos بروتوكول بسبب المشكلة الأمنية.

تكوين أسماء Spn في هذا الطريقة يؤدي إلى فشل مصادقة Kerberos. حل المحتملة لهذا يكون إصدار لاستخدام بروتوكول نقل. المصادقة الأولى هل معالجة بين العميل والخادم بتشغيل IIS باستخدام بروتوكول مصادقة NTLM. أن Kerberos من معالجة المصادقة التي تتم بين IIS وموارد الخادم.

Microsoft Internet Explorer 6 أو إصدار أحدث

مستعرض العميل قد تواجه مشكلات، مثل الاستقبال المطالبة بتسجيل الدخول المتكررة لبيانات الاعتماد أو رسائل الخطأ "تم رفض الوصول 401" من الملقم الذي يشغل IIS. وجدنا اثنين المشكلات التالية التي قد المساعدة في حل هذه المشكلات:
  • تحقق من أن تمكين Windows المتكاملة المصادقة محدداً في خصائص الخاص بالمستعرض. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرض المقالة في "قاعدة المعارف ل Microsoft":
    299838غير قادر على التفاوض مع مصادقة Kerberos بعد الترقية إلى Internet Explorer 6
  • إذا كان تكوين الأمان المحسن ل Internet Explorer تمكين في إضافة/إزالة "البرامج"، يجب إضافة موقع يستخدم التفويضالمواقع الموثوق بها قائمة. لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرض المقالة في "قاعدة المعارف ل Microsoft":
    815141تكوين الأمان المحسن ل Internet Explorer بتغيير أسلوب الاستعراض

IIS 5.0 و IIS 6.0

بعد الترقية من IIS 4.0 IIS 5.0 أو 6.0 IIS أو التفويض قد لا تعمل بشكل صحيح أو قد يكون شخص ما أو تطبيق ما قام بتعديل خاصية قاعدة التعريف نتاوثينتيكاتيونبروفيديرس. لمزيد من المعلومات حول كيفية إصلاح هذه المشكلة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
248350فشلت مصادقة Kerberos بعد الترقية من IIS 4.0 على IIS 5.0

منطقة معينة من مشكلة يمكن أن تحدث عندما تقوم بتعيين SPN

تحديد اسم الملقم

تحديد ما إذا كان الاتصال بموقع ويب باستخدام اسم NetBIOS الفعلي الملقم أو باستخدام اسم مستعار، مثل اسم DNS (على سبيل المثال، www.microsoft.com). إذا تم الوصول إلى ملقم ويب باستخدام اسم خلاف الاسم الفعلي للخادم، اسم خدمة أساسي جديد يجب أن يتم تسجيل (SPN) باستخدام الأداة Setspn من Windows 2000 Server Resource Kit. لأن خدمة الدليل "Active Directory" غير موجود تعرف اسم الخدمة، خدمة منح التذاكر (TGS) لا يعطيك تذكرة مصادقة المستخدم. يفرض هذا السلوك للعميل باستخدام التالي أسلوب مصادقة متوفر، وهو NTLM، إعادة التفاوض. إذا صفحة ويب الملقم يستجيب إلى اسم DNS من www.microsoft.com ولكن الخادم يسمى webserver1.development.microsoft.com، يجب عليك التسجيل www.microsoft.com في "Active Directory" على الخادم الذي يقوم بتشغيل تشغيل IIS. للقيام بذلك، يجب تنزيل الأداة Setspn وتثبيته على الملقم الذي يشغل IIS.

إذا كنت تستخدم Windows Server 2003 و IIS 6، تكون أداة Setspn لنظام التشغيل Microsoft Windows Server 2003 تتوفر من الموقع التالي:لتحديد ما إذا كان الاتصال باستخدام الاسم الفعلي، حاول الاتصال بالملقم باستخدام الاسم الفعلي للخادم بدلاً من اسم DNS. إذا تعذر الاتصال بالملقم، راجع التحقق "من الكمبيوتر المقطع هو موثوق للتفويض ".

إذا تمكنت من الاتصال بملقم، اتبع هذه الخطوات لتعيين SPN لاسم DNS الذي تستخدمه للاتصال للخادم:
  1. تثبيت الأداة Setspn.
  2. على خادم يقوم بتشغيل IIS، افتح موجه الأوامر، ومن ثم افتح المجلد C:\Program Files\Resource أدوات.
  3. تشغيل الأمر التالي لإضافة هذا SPN جديد (www.microsoft.com) في خدمة "active Directory" للخادم:
    Setspn-HTTP/www.microsoft.com webserver1
    ملاحظة في هذا الأمر، webserver1 يمثل اسم NetBIOS من الملقم.
يظهر إخراج مشابه لما يلي:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.comUpdated object
لعرض قائمة بأسماء Spn على الخادم لهذه القيمة الجديدة، راجع اكتب الأمر التالي على خادم يقوم بتشغيل IIS:
ويبسيرفيرنامي-L Setspn
لاحظ أنه ليس لديك لتسجيل كافة الخدمات. خدمة العديد أنواع مثل HTTP، W3SVC، WWW، RPC، CIFS (الوصول إلى الملفات)، WINS، و تزويد الطاقة غير المنقطع (UPS)، سيتم تعيينه إلى نوع خدمة افتراضي موجود اسم المضيف. على سبيل المثال، إذا كان برنامج العميل يستخدم SPN من HTTP/webserver1.microsoft.com لإنشاء اتصال HTTP إلى ملقم ويب على لم يتم تسجيل الملقم webserver1.microsoft.com، ولكن هذا SPN على الملقم، سيتم تلقائياً تعيين وحدة تحكم المجال Windows 2000 الاتصال ب HOST/webserver1.microsoft.com. يتم تطبيق هذا التعيين فقط إذا الخدمة ويب قيد التشغيل ضمن حساب النظام المحلي.

التحقق من أن الكمبيوتر موثوق للتفويض

إذا كان هذا الملقم يستخدم IIS عضوا في المجال غير وحدة تحكم المجال، يجب أن يكون الكمبيوتر موثوق به للتفويض ل Kerberos إلى تعمل بشكل صحيح. للقيام بذلك، اتبع الخطوات التالية:
  1. في وحدة تحكم المجال، انقر فوق بدء تشغيل, أشر إلى إعدادات، ثم انقر فوق عنصر التحكم لوحة.
  2. في "لوحة التحكم"، افتح إدارية أدوات.
  3. انقر نقراً مزدوجاً فوق مستخدمي Active directory و أجهزة الكمبيوتر.
  4. ضمن المجال الخاص بك، انقر فوق أجهزة الكمبيوتر.
  5. في القائمة، حدد موقع الملقم الذي يشغل IIS، انقر بالزر الأيمن اسم الملقم، ومن ثم انقر فوق خصائص.
  6. انقر فوق عام علامة التبويب، انقر لتحديدموثوق للتفويض خانة الاختيار ومن ثم انقر فوقموافق.
لاحظ أنه إذا تم الوصول إلى العديد من مواقع ويب بنفس عنوان URL ولكن على منافذ مختلفة، لن تعمل التفويض. لجعل هذا العمل، يجب عليك استخدام أسماء المضيفين مختلفة وأسماء Spn مختلفة. عندما يطلب Internet Explorer أما http://www.mywebsite.com أو http://www.mywebsite.com:81، Internet Explorer طلبات تذكرة SPN HTTP/www.mywebsite.com. لا يقوم Internet Explorer بإضافة المنفذ أو vdir على طلب SPN. هذا السلوك هو نفسه بالنسبة http://www.mywebsite.com/app1 أو http://www.mywebsite.com/app2. في هذا السيناريو، سيقوم Internet Explorer طلب تذكرة SPN http://www.mywebsite.com من توزيع المفاتيح مركز (KDC). يمكن أن يتم تعريف كل SPN هوية واحدة فقط. لذلك، يمكنك سوف تتلقى رسالة خطأ KRB_DUPLICATE_SPN أيضا إذا حاولت التصريح بذلك SPN لكل هوية.

التفويض و Microsoft ASP.NET

لمزيد من المعلومات حول التكوين لتفويض بيانات الاعتماد عند استخدام ASP.NET التطبيق، انقر فوق رقم المقالة التالي لعرضها في قاعدة المعارف ل Microsoft:
810572كيفية تكوين تطبيق ASP.NET لسيناريو التفويض
الانتحال والتفويض طريقتان ملقم لمصادقة بالنيابة عن العميل. تحديد أي من هذه أساليب لاستخدام وتنفيذ هذه يمكن أن يسبب بعض الارتباك. يجب عليك مراجعة الفرق بين هذان الأسلوبان وفحص أي من هذه استخدام الأساليب التي قد تحتاج للتطبيق الخاص بك. هو أن التوصية الخاصة بي قراءة المستند التقني التالي لمزيد من التفاصيل:
مراجع
305971 Windows 2000 Server يطالب المستخدم بيانات اعتماد المجال
262177 كيفية تمكين تسجيل الأحداث Kerberos
326985 كيفية استكشاف المشكلات المتعلقة Kerberos في IIS
842861 WebCast دعم TechNet: مصادقة Kerberos مع تطبيقات ويب آمنة و Microsoft SQL Server استكشاف الأخطاء وإصلاحها
كما هو الحال دائماً، لا تتردد في إرسال أفكار حول مواضيع لك تريد معالجتها في الأعمدة المستقبلية أو في قاعدة المعارف باستخدام طلب أنه .

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 907272 - آخر مراجعة: 05/29/2013 23:53:00 - المراجعة: 6.0

Microsoft Internet Information Services 6.0

  • kbiis kbhowto kbasp kbmt KB907272 KbMtar
تعليقات