Ověřování pomocí protokolu Kerberos a potíží s delegováním

Služba IIS Developer podpora hlasové sloupce

Ověřování pomocí protokolu Kerberos a potíží s delegováním

Chcete-li upravit tento sloupec vašim potřebám, chceme pozvat sdělit své nápady o tématech, které zajímají je a problémy, které chcete zobrazit adresovány v budoucnu články znalostní báze a podpora hlasové sloupce. Můžete odeslat nápady a názor pomocí formuláře Požádat pro něj . Je také odkaz na formulář v dolní části tohoto sloupce.
Mé jméno je Martin Novák a já jsem se skupinou řešení kritických problémů Internetová informační služba (IIS) společnosti Microsoft. I byly s Microsoft devět let a byla s týmem IIS všech devět let. I byly zkompilovány informace z více míst na
http://msdn.microsoft.com a
o protokolu Kerberos a potíží s delegováním http://www.microsoft.com .

SLUŽBA IIS 6.0

Následující dokument white paper popisuje, jak nastavit delegování v systému Microsoft Windows Server 2003. Dokument white paper obsahuje informace specifické pro službu Vyrovnávání zatížení sítě (NLB), ale zahrnuje vynikající detaily o tom, jak nastavit delegovaný scénář bez použití služby Vyrovnávání zatížení sítě. Chcete-li zobrazit tento dokument white paper, naleznete na následujícím webu společnosti Microsoft:Poznámka: Používáte názvy HTTP Service Principal (SPN), zejména při použití služby Vyrovnávání zatížení sítě.

Dalším problémem populární Kerberos nedávno bylo potřeba povolit pro více fondů aplikací, chcete-li použít stejný název DNS. Bohužel při použití protokolu Kerberos delegování pověření, nelze vázat stejné hlavního názvu služby (SPN) do samostatných fondů aplikací. Nelze provést vzhledem k tomu, že protokol Kerberos. Protokol Kerberos vyžaduje více sdílené tajné klíče pro protokol funguje správně. Pomocí stejného názvu SPN pro fondy aplikací různých jsme k vyloučení jedné z těchto sdílených tajných klíčů. Adresářové služby Active Directory nebude podporovat tuto konfiguraci protokolu Kerberos z důvodu problému zabezpečení.

Konfigurace názvu SPN tímto způsobem způsobí, že došlo k chybě ověřování pomocí protokolu Kerberos. Možným řešením tohoto problému by bylo použít protokol přechod. Počáteční ověření mezi klientem a službou IIS Server by zpracována pomocí ověřovací protokol NTLM. Kerberos by zpracovat ověřování mezi službou IIS a server back-end prostředků.

Aplikace Microsoft Internet Explorer 6 nebo novější

Prohlížeč klienta může dojít k problémům, například příjem výzvy opakovaně přihlašovací pověření nebo "401 Přístup odepřen" chybové zprávy ze serveru se službou IIS. Zjistili jsme následující dva problémy, které mohou pomoci vyřešit tyto problémy:
  • Ověřte, zda Povolit integrované ověřování systému Windows je vybrána v panelu vlastností v prohlížeči. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    299838 nelze vyjednat ověřování Kerberos po inovaci na aplikaci Internet Explorer 6

  • Pokud je konfigurace rozšířeného zabezpečení aplikace Internet Explorer je povoleno v přidat nebo odebrat programy, je nutné přidat web, který používá delegování
    Seznam Důvěryhodné servery . Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    815141 konfigurace rozšířeného zabezpečení aplikace Internet Explorer mění možnosti procházení

Služba IIS 5.0 a IIS 6.0

Po inovaci ze služby IIS 4.0 na službu IIS 5.0 nebo IIS 6.0 delegování nemusí pracovat správně nebo případně uživatel nebo aplikace byla změněna vlastnost metabáze NTAuthenticationProviders.
Další informace o tom, jak tento problém vyřešit, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
248350 ověřování pomocí protokolu Kerberos se nezdaří po upgradu ze služby IIS 4.0 na službu IIS 5.0

Určitou oblast potížím může dojít, pokud nastavíte název SPN

Zjistit název serveru

Určete, zda se připojujete k webovému serveru pomocí skutečný název NetBIOS serveru nebo pomocí aliasu názvu, jako například název DNS (například www.microsoft.com). Pokud přistupujete na webový server pomocí názvu než skutečný název serveru, nového hlavního názvu služby (SPN) musí být zapsán pomocí nástroje Setspn ze systému Windows 2000 Server Resource Kit. Protože neví, adresářové služby Active Directory název této služby, služby udělování lístků (TGS) nedává lístek k ověření uživatele. Toto chování způsobí, že klient používat další metodu ověřování k dispozici, což je protokol NTLM, opětovně vyjednat. Pokud webový server reaguje na DNS název www.microsoft.com, ale server se nazývá webserver1.development.microsoft.com, je nutné zaregistrovat www.microsoft.com ve službě Active Directory na serveru se spuštěnou službou IIS. Chcete-li to provést, musíte stáhnout nástroj Setspn a nainstalovat na serveru se spuštěnou službou IIS.


Pokud používáte systém Windows Server 2003 a služby IIS 6, nástroj Setspn v systému Microsoft Windows Server 2003 je k dispozici z následujícího umístění:Chcete-li zjistit, zda se připojujete pomocí skutečný název, zkuste se připojit k serveru pomocí skutečný název serveru, namísto názvu DNS. Pokud se nemůžete připojit k serveru, naleznete v části "Ověřit počítač je důvěryhodný pro delegování".

Pokud se můžete připojit k serveru, postupujte takto Chcete-li nastavit název SPN pro název DNS, který používáte pro připojení k serveru:
  1. Nainstalujte nástroj Setspn.
  2. Na serveru se službou IIS otevřete příkazový řádek a potom otevřete složku C:\Program Files\Resource Kit.
  3. Spusťte následující příkaz, chcete-li přidat tento nový název SPN (www.microsoft.com) ke službě Active Directory pro server:
    Setspn - A HTTP/www.microsoft.com webový_server1
    Poznámka: V tomto příkazu představuje webový_server1 název NetBIOS serveru.
Zobrazí se výstup podobný následujícímu:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Chcete-li zobrazit seznam názvů SPN na serveru zobrazíte tuto novou hodnotu, zadejte následující příkaz na serveru se službou IIS:
Setspn -L název_webového_serveru
Všimněte si, že není nutné zaregistrovat všechny služby. Různé typy služeb, jako například HTTP, W3SVC, WWW, RPC, CIFS (soubor aplikace access), WINS a nepřerušitelný zdroj napájení (UPS) dodávek bude mapován na výchozí typ služby, který je s názvem hostitele. Například pokud klientský software používá SPN HTTP/webserver1.microsoft.com Chcete-li vytvořit připojení HTTP na webovém serveru na serveru webserver1.microsoft.com, ale tento název SPN není registrován na serveru, řadič domény systému Windows 2000 automaticky namapuje připojení k HOST/webserver1.microsoft.com. Toto mapování platí pouze v případě, že webová služba je spuštěna pod účtem místního systému.

Ověřte, zda je počítač důvěryhodný pro delegování

Pokud tento server se službou IIS je členem domény, ale není řadič domény, musí být počítač důvěryhodný pro delegování ověřování pomocí protokolu Kerberos pracovat správně. Chcete-li to provést, postupujte takto:
  1. V řadiči domény klepněte na tlačítko Start, přejděte na příkaz Nastavenía klepněte na příkaz Ovládací panely.
  2. V Ovládacích panelech otevřete Nástroje pro správu.
  3. Poklepejte na Active Directory Users and Computers.
  4. V rámci vaší domény klepněte na položku počítače.
  5. V seznamu vyhledejte serveru se službou IIS, klepněte pravým tlačítkem myši na název serveru a potom klepněte na příkaz Vlastnosti.
  6. Klepněte na kartu Obecné , zaškrtněte
    Zaškrtněte políčko Důvěřovat počítači pro delegování a potom klepněte na tlačítko
    OK.
Všimněte si, že pokud více webových serverů stejnou adresou URL, ale na různých portech, delegování nebude fungovat. Chcete-li tato práce, je nutné použít různé názvy hostitelů a různé názvy. Když aplikace Internet Explorer vyžaduje buď http://www. mywebsite.com nebo http://www. mywebsite.com:81 Internet Explorer požaduje lístek SPN HTTP/www.mywebsite.com. Aplikace Internet Explorer není SPN žádosti o přidat port nebo vdir. Toto chování je stejné pro http://www. mywebsite.com/Apl1 nebo http://www. mywebsite.com/Apl2. V tomto scénáři aplikace Internet Explorer bude požadovat lístek pro SPN http://www. mywebsite.com z centra distribuce klíčů (KDC). Každý název SPN lze deklarovat pouze pro jednu identitu. Proto je by také KRB_DUPLICATE_SPN chybová zpráva při pokusu deklarovat tento název SPN pro každou identitu.

Delegování a Microsoft ASP.NET

Další informace o konfiguraci delegování pověření při použití aplikace ASP.NET klepněte na následující číslo článku databáze Microsoft Knowledge Base:
810572 jak nakonfigurovat aplikaci technologie ASP.NET pro scénář delegování

Zosobnění a delegování jsou dvě metody serveru jménem klienta ověření. Rozhodování, který můžete použít tyto metody a jejich provádění může způsobovat určité potíže. Je nutné zkontrolovat rozdíl mezi těmito dvěma metodami a posoudí, která z těchto metod můžete použít pro vaši aplikaci. Mé doporučení by bylo přečtěte si následující dokument white paper pro další informace:

Odkazy

305971 systém Windows 2000 Server vyzve uživatele domény pověření

262177 jak povolit protokolování událostí protokolu Kerberos

326985 postup řešení problémů souvisejících s protokolem Kerberos ve službě IIS

842861 webové vysílání podpory TechNet: řešení potíží s protokolem Kerberos ověřování pomocí zabezpečených webových aplikací a Microsoft SQL Server

Jako vždy, atmosféru volného odeslat nápady na témata chcete určeno v budoucnosti sloupce nebo pomocí znalostní báze Knowledge Base
Dotaz pro jeho formuláře.
Vlastnosti

ID článku: 907272 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor