Kerberose autentimine ja delegeerimine probleemide tõrkeotsing

IIS-i arendaja tugi hääl veerg

Kerberose autentimine ja delegeerimine probleemide tõrkeotsing

Selle veeru teie vajadustele kohandamise soovime kutsuda teid esitama oma ideid teemad, mida te ja probleeme, mida soovite näha lahendada tulevikus teabebaasi (Knowledge Base) artikleid ja tugiteenuste hääl. Te saate esitada oma ideid ja tagasisidet Küsida It vormi kasutades. On ka link vormi selle veeru allosas.

Minu nimi on Martin Smith ja ma olen Microsofti Microsoft Internet Information Services (IIS) kriitiliste probleemide lahendamise nimel. On Microsofti 9 aastat ja on IIS-i meeskonnaga Kõik 9 aastat. Mul on kompileeritud mitmest kohast teabe kohta
http://MSDN.microsoft.com ja
http://www.microsoft.com Kerberose ja delegeerimine probleemide tõrkeotsingu kohta.

IIS 6.0

Järgmine dokument kirjeldab delegeerimine Microsoft Windows Server 2003. Valges raamatus on seotud teavet jaoks Network Load Balancing (NLB), kuid sisaldab suurepärast üksikasju selle kohta, kuidas seadistada delegeeritud stsenaariumi NLB kasutamata. Selle valge raamatu vaatamiseks külastage järgmist Microsofti veebisaiti:

http://technet.microsoft.com/en-us/library/cc757299.aspxMärkus. Kasutada HTTP-teenuse subjektinimede (SPN-de), eriti juhul, kui kasutate NLB.

Teine populaarne Kerberose probleem hiljuti on vajadust mitme Rakendusekaustad kasutada sama DNS-i nimi. Kahjuks mandaatide delegeerimine Kerberose kasutamisel ei saa siduda on sama teenuse Subjektinime (SPN) mis erinevad Rakendusekaustad. Te ei saa seda teha, sest Kerberose disain. Kerberose vaja mitu jagatud saladused protokolli õigesti töötada. Kasutades sama SPN erinevad Rakendusekaustad, me kõrvaldada üks nende jagatud saladused. Active Directory kataloogiteenuses ei toeta selle konfiguratsiooni Kerberose turvalisuse probleemi tõttu.

Konfigureerimine SPN-id sel viisil nurjub Kerberose autentimine nurjub. Selle probleemi võimaliku lahendusena oleks kasutada protokolli üleminek. Esmane autentimine vahel klient ja Server töötab IIS tegeleks NTLM-autentimine protokolli kasutades. Kerberose käsitleks IIS-i ja ressursi tagaserver autentimist.

Microsoft Internet Explorer 6 või uuem versioon

Kliendi brauser kokku puutuda probleemidega, nagu korduvad sisselogimise mandaat ja tõrketeadete "401 juurdepääs on keelatud" palub vastuvõtmine serveris, kus töötab IIS-i. Oleme leidnud järgmised kaks probleemi, mis võivad aidata lahendada järgmisi probleeme:

  • Veenduge, et Lubada Windowsi integreeritud autentimise valitud brauseri atribuudid. Kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

    299838 ei saa rääkida Kerberose autentimine pärast Internet Explorer 6

  • Kui Internet Exploreri täiustatud turbekonfiguratsioon on lubatud programmide lisamine või eemaldamine, peate lisama saidiga, mis kasutab delegeerida selle
    Usaldusväärsete saitide loendisse. Kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

    815141 Internet Explorer täiustatud turbekonfiguratsioon muudab sirvimiskogemust

IIS 5.0 ja IIS 6.0

Pärast versiooniuuenduse installimist IIS 4.0 IIS 5.0 või IIS 6.0, delegeerimine ei pruugi õigesti toimida või keegi või rakendus on muudetud NTAuthenticationProviders metaandmebaasi atribuudiga.
Selle probleemi lahendamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

248350 Kerberose autentimine nurjub pärast IIS 4.0 IIS 5.0

Teatud piirkonnas probleem võib tekkida, kui seate selle SPN

Serveri nimi

Tehke kindlaks, kas loote ühenduse veebisaidiga tegelik serveri NetBIOS-nime abil või alias nimi, näiteks DNS-nime (nt www.microsoft.com) abil. Kui avate veebiserver, kasutades muud tegelik nimi serveri nime, on uue teenuse Subjektinime (SPN) peab registreeritud Setspn alates Windows 2000 Server Resource Kit tööriista abil. Kuna Active Directory kataloogiteenuses ei tea selle teenuse nimi, pilet andmise teenust (TGS) ei anna teile pileti autentida. Selline käitumine sunnib klienti kasutama järgmise saadaval autentimise meetodit, mis on NTLM, uuesti läbi. Kui veebiserver ei reageeri www.microsoft.com DNS-i nimi, kuid server nimega webserver1.development.microsoft.com, peate registreerima www.microsoft.com Active Directory serveris, kus töötab IIS-i. Selleks tuleb Setspn tööriista alla laadida ja installida serveris, kus töötab IIS-i.


Kui kasutate Windows Server 2003 ja IIS 6, Setspn tööriista Microsoft Windows Server 2003 on saadaval järgmises asukohas:

http://support.microsoft.com/kb/970536Et teha kindlaks, kas loote ühenduse, kasutades tegelik nimi, proovige serveriga, kasutades DNS-i nime asemel serveri tegelik nimi. Kui te ei saa ühendust serveriga, lugege jaotist "Kontrollige arvuti on usaldusväärne delegeerimine".

Kui ühendate server, toimige järgmiselt seada SPN DNS-i nimi, mida kasutate serveriga ühendust luua.

  1. Setspn tööriista installimiseks.

  2. Serveris, kus töötab IIS-i, avage käsuviip ja seejärel avage kaust C:\Program Files\Resource Kit.

  3. See uus SPN (www.microsoft.com) lisamiseks Active Directory serveri järgmine käsk:

    Setspn - A HTTP/www.microsoft.com webserver1Märkus. Selles käsus tähistab webserver1 serveri NetBIOS-nime.

Kuvatakse väljund, mis sarnaneb järgmisega:
Registering ServicePrincipalNames for CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=comHTTP/www.microsoft.com
Updated object

Server vt selle uue väärtuse SPN-de loendi kuvamiseks tippige järgmine käsk serveris, kus töötab IIS-i:

Setspn -L webservernamePange tähele, et te ei pea registreerima kõik teenused. Mitmesuguseid teenuseid nagu HTTP, W3SVC, WWW, RPC, CIFS (faili access), WINS-i ja katkematu toite allikat (UPS), vastendatakse vaiketüübi teenuse HOSTI nimega. Näiteks kui kliendi tarkvara kasutab HTTP/webserver1.microsoft.com SPN on serveris webserver1.microsoft.com veebiserverisse HTTP-ühenduse luua, kuid selle SPN on registreeritud server, Windows 2000 domeenikontroller automaatselt vastendada ühendus HOST/webserver1.microsoft.com. See vastendamine kehtib ainult siis, kui veebiteenuse töötab kohaliku süsteemikonto.

Veenduge, et arvuti on usaldusväärne delegeerimine

Kui selles serveris, kus töötab IIS on domeeni liige, kuid ei ole domeenikontrolleri, arvuti peab olema usaldusväärne delegeerimine Kerberose õigesti töötada. Selleks toimige järgmiselt.

  1. Domeenikontrolleris, klõpsake nuppu Start, käsku sättedja käsku Control Panel.

  2. Avage juhtpaneelil Haldusriistad.

  3. Topeltklõpsake Active Directory kasutajad ja arvutid.

  4. Klõpsake oma domeeni arvutid.

  5. Loendis leidke serveris, kus töötab IIS, paremklõpsake serveri nimi ja seejärel klõpsake nuppu Atribuudid.

  6. Klõpsake vahekaarti Üldine , märkige selle
    Usaldusväärsed delegeerimine ruut ja klõpsake
    OK.

Pange tähele, et kui mitu veebisaiti on sama URL-iga, kuid erinevaid Porte, delegeerimine ei toimi. Selle töö tegemiseks peate kasutama erinevaid hostinimed ja muu SPN-id. Kui Internet Exploreri soovib kas http://www. mywebsite.com või http://www. mywebsite.com: 81, Internet Exploreri taotleb pileti SPN HTTP/www.mywebsite.com. Internet Explorer ei lisa port või selle vdir SPN taotluse. Selline käitumine on sama http://www. mywebsite.com/app1 või http://www. mywebsite.com/app2. Selle stsenaariumi korral Internet Explorer küsib pileti SPN http://www. mywebsite.com võti levitamise keskus (KDC). Iga SPN saab tunnistada ainult ühe identiteedi puhul. Seetõttu oleks ka kuvatakse KRB_DUPLICATE_SPN tõrketeade, kui püüate tuvastada selle SPN iga identiteedi puhul.

Delegeerimine ja Microsoft ASP.net-i

Mandaatide delegeerimine, kui kasutate rakendust ASP.net-i konfiguratsiooni kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

810572 kuidas konfigureerida delegeerimine stsenaariumi ASP.net-i rakenduse

Isikustamise ja delegeerimine on kaks meetodit, serveri autentimiseks kliendi nimel. Millist nende meetodite kasutamiseks ja nende rakendamist võib põhjustada segadust. Tuleb läbi vahe need kaks meetodit ja kontrollige, milline neist meetoditest, võite kasutada rakendust. Minu soovitus oleks lugeda lähemalt järgmine dokument:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Viited

http://technet.microsoft.com/en-us/library/cc757299.aspx

http://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

305971 Windows 2000 Server küsib kasutaja mandaate

262177 kuidas võimaldada Kerberose sündmuste logimine

326985 kuidas viia läbi tõrkeotsingut rakenduses IIS Kerberose seotud probleemid

842861 TechNeti tugiteenuste veebiülekannet: tõrkeotsingu Kerberose autentimine turvalise veebisaidi rakenduse ja Microsoft SQL Server

Nagu alati, Julgelt esitada ideid teemade kohta, mida soovite lahendada tulevikus veerud või teabebaasi (Knowledge Base) kasutamisel on
Küsige It vormi.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×