Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Colonne Voix de prise en charge des développeurs IIS

Authentification Kerberos et résolution des problèmes de délégation

Pour personnaliser cette colonne en fonction de vos besoins, nous vous invitons à soumettre vos idées sur les sujets qui vous intéressent et les problèmes que vous souhaitez voir traités dans les futurs articles de la Base de connaissances et les colonnes Support Voice. Vous pouvez soumettre vos idées et commentaires à l’aide du formulaire Demander. Il existe également un lien vers le formulaire en bas de cette colonne.

Mon nom est <nom> et je suis avec le groupe de résolution des problèmes critiques Microsoft Internet Information Services (IIS) de Microsoft. J’ai été avec Microsoft neuf ans et j’ai été avec l’équipe IIS toutes les neuf années. J’ai compilé des informations à partir de plusieurs emplacements sur
http://msdn.microsoft.com et
http://www.microsoft.com sur Kerberos et sur la résolution des problèmes de délégation.

IIS 6.0

Le livre blanc suivant explique comment configurer la délégation dans Microsoft Windows Server 2003. Le livre blanc contient des informations spécifiques sur l’équilibrage de charge réseau (NLB), mais inclut d’excellents détails sur la configuration d’un scénario délégué sans utiliser l’équilibrage de charge réseau. Pour afficher ce livre blanc, reportez-vous au site web de Microsoft à l’adresse suivante :

http://technet.microsoft.com/en-us/library/cc757299.aspxRemarque Utilisez des noms de principal de service (SPN) HTTP, en particulier lorsque vous utilisez l’équilibrage de charge réseau.

Un autre problème Kerberos populaire récemment a été la nécessité d’autoriser plusieurs pools d’applications à utiliser le même nom DNS. Malheureusement, lorsque vous utilisez Kerberos pour déléguer des informations d’identification, vous ne pouvez pas lier le même nom de principal de service (SPN) à différents pools d’applications. Vous ne pouvez pas le faire en raison de la conception de Kerberos. Le protocole Kerberos nécessite plusieurs secrets partagés pour que le protocole fonctionne correctement. En utilisant le même SPN pour différents pools d’applications, nous supprimons l’un de ces secrets partagés. Le service d’annuaire Active Directory ne prend pas en charge cette configuration du protocole Kerberos en raison du problème de sécurité.

La configuration des SPN de cette façon entraîne l’échec de l’authentification Kerberos. Une solution de contournement possible pour ce problème consiste à utiliser la transition de protocole. L’authentification initiale entre le client et le serveur exécutant IIS est gérée à l’aide du protocole d’authentification NTLM. Kerberos gère l’authentification entre IIS et le serveur de ressources back-end.

Microsoft Internet Explorer 6 ou version ultérieure

Le navigateur client peut rencontrer des problèmes, tels que la réception d’invites d’ouverture de session répétées pour les informations d’identification ou des messages d’erreur « 401 Accès refusé » du serveur exécutant IIS. Nous avons trouvé les deux problèmes suivants qui peuvent aider à résoudre ces problèmes :

  • Vérifiez que l’option Activer l’authentification Windows intégrée est sélectionnée dans les propriétés du navigateur.
     

  • Si Internet Explorer la configuration de sécurité renforcée est activée dans Ajout/Suppression de programmes, vous devez ajouter un site qui utilise la délégation à la
    listeSites approuvés. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

    815141 La configuration de sécurité renforcée d'Internet Explorer modifie l'expérience de navigation
     

IIS 5.0 et IIS 6.0

Après la mise à niveau d’IIS 4.0 vers IIS 5.0 ou IIS 6.0, la délégation peut ne pas fonctionner correctement, ou peut-être qu’une personne ou une application a modifié la propriété de métabase NTAuthenticationProviders.

 

Un problème particulier peut se produire lorsque vous définissez le SPN

Déterminer le nom du serveur

Déterminez si vous vous connectez au site Web en utilisant le nom NetBIOS réel du serveur ou en utilisant un nom d’alias, tel qu’un nom DNS (par exemple, www.microsoft.com). Si vous accédez au serveur Web à l’aide d’un nom autre que le nom réel du serveur, un nouveau nom de principal de service (SPN) doit avoir été inscrit à l’aide de l’outil Setspn du Kit de ressources windows 2000 Server. Étant donné que le service d’annuaire Active Directory ne connaît pas ce nom de service, le service d’octroi de tickets (TGS) ne vous donne pas de ticket pour authentifier l’utilisateur. Ce comportement force le client à utiliser la méthode d’authentification disponible suivante, qui est NTLM, pour renégocier. Si le serveur Web répond à un nom DNS de www.microsoft.com mais que le serveur est nommé webserver1.development.microsoft.com, vous devez inscrire www.microsoft.com dans Active Directory sur le serveur exécutant IIS. Pour ce faire, vous devez télécharger l’outil Setspn et l’installer sur le serveur qui exécute IIS.


Pour déterminer si vous vous connectez à l’aide du nom réel, essayez de vous connecter au serveur en utilisant le nom réel du serveur au lieu du nom DNS. Si vous ne pouvez pas vous connecter au serveur, consultez la section « Vérifier que l’ordinateur est approuvé pour la délégation ».

Si vous pouvez vous connecter au serveur, procédez comme suit pour définir un SPN pour le nom DNS que vous utilisez pour vous connecter au serveur :

  1. Installez l’outil Setspn.

  2. Sur le serveur exécutant IIS, ouvrez une invite de commandes, puis ouvrez le dossier C :\Program Files\Resource Kit.

  3. Exécutez la commande suivante pour ajouter ce nouveau SPN (www.microsoft.com) à Active Directory pour le serveur :

    Setspn -A HTTP/www.microsoft.com webserver1Remarque Dans cette commande, webserver1 représente le nom NetBIOS du serveur.

Vous recevez une sortie similaire à ce qui suit :
Inscription de ServicePrincipalNames pour CN=webserver1,OU=Domain Controllers,DC=microsoft,DC=com
HTTP/www.microsoft.com

Objet mis à jour Pour afficher la liste des spN sur le serveur et afficher cette nouvelle valeur, tapez la commande suivante sur le serveur exécutant IIS :

Setspn -L webservername Notez que vous n’avez pas besoin d’inscrire tous les services. De nombreux types de service, tels que HTTP, W3SVC, WWW, RPC, CIFS (accès aux fichiers), WINS et un bloc d’alimentation sans interruption (UPS), sont mappés à un type de service par défaut nommé HOST. Par exemple, si votre logiciel client utilise un SPN de HTTP/webserver1.microsoft.com pour créer une connexion HTTP au serveur Web sur le serveur webserver1.microsoft.com, mais que ce SPN n’est pas inscrit sur le serveur, le contrôleur de domaine Windows 2000 mappe automatiquement la connexion à HOST/webserver1.microsoft.com. Ce mappage s’applique uniquement si le service Web s’exécute sous le compte système local.

Vérifier que l’ordinateur est approuvé pour la délégation

Si ce serveur exécutant IIS est membre du domaine mais n’est pas un contrôleur de domaine, l’ordinateur doit être approuvé pour que la délégation Kerberos fonctionne correctement. Pour cela, procédez comme suit :

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.

  2. Dans Panneau de configuration, ouvrez Outils d’administration.

  3. Double-cliquez sur Utilisateurs et ordinateurs Active Directory.

  4. Sous votre domaine, cliquez sur Ordinateurs.

  5. Dans la liste, recherchez le serveur exécutant IIS, cliquez avec le bouton droit sur le nom du serveur, puis cliquez sur Propriétés.

  6. Cliquez sur l’onglet Général, sélectionnez la zoneApprouvé pour la
    délégation case activée, puis cliquez sur
    OK.

Notez que si plusieurs sites Web sont atteints par la même URL mais sur des ports différents, la délégation ne fonctionnera pas. Pour que cela fonctionne, vous devez utiliser différents noms d’hôte et différents SPN. Lorsque l’Explorer Internet demande http://www.mywebsite.com ou http://www.mywebsite.com :81, Internet Explorer demande un ticket pour LE SPN HTTP/www.mywebsite.com. Internet Explorer n’ajoute pas le port ou le vdir à la requête SPN. Ce comportement est le même pour http://www.mywebsite.com/app1 ou http://www.mywebsite.com/app2. Dans ce scénario, les Explorer Internet demandent un ticket pour les http://www SPN.mywebsite.com à partir du Centre de distribution de clés (KDC). Chaque SPN ne peut être déclaré que pour une seule identité. Par conséquent, vous recevez également un message d’erreur KRB_DUPLICATE_SPN si vous essayez de déclarer ce SPN pour chaque identité.

Délégation et Microsoft ASP.NET

Pour plus d’informations sur la configuration de la délégation des informations d’identification lorsque vous utilisez une application ASP.NET, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

810572 Comment configurer une application ASP.NET pour un scénario

de délégation L’emprunt d’identité et la délégation sont deux méthodes permettant à un serveur de s’authentifier au nom du client. Le choix de ces méthodes à utiliser et de leur implémentation peut entraîner une certaine confusion. Vous devez examiner la différence entre ces deux méthodes et examiner celles que vous souhaitez utiliser pour votre application. Je vous recommande de lire le livre blanc suivant pour plus de détails :

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Références



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Procédure d’activation de l’enregistrement d’événements Kerberos

Résoudre les échecs Kerberos dans Internet Explorer

Comme toujours, n’hésitez pas à soumettre des idées sur des sujets que vous souhaitez aborder dans de futures colonnes ou dans la base de connaissances à l’aide du formulaire Demander.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×