Iniciar sessão com a Microsoft
Iniciar sessão ou criar uma conta.
Olá,
Selecione uma conta diferente.
Tem várias contas
Selecione a conta com a qual pretende iniciar sessão.

Coluna Voz de Suporte para Programadores do IIS

Autenticação Kerberos e resolução de problemas de delegação

Para personalizar esta coluna de acordo com as suas necessidades, queremos convidá-lo para submeter as suas ideias sobre tópicos que lhe interessam e problemas que pretende ver abordados em futuros artigos da Base de Dados de Conhecimento e colunas voz de suporte. Pode submeter as suas ideias e comentários através do formulário Pedir. Também existe uma ligação para o formulário na parte inferior desta coluna.

O meu nome é <Nome> e estou com o grupo resolução de problemas críticos Serviços de Informação Internet da Microsoft (IIS) da Microsoft. Estou na Microsoft há nove anos e estou na equipa do IIS há nove anos. Compilei informações de várias localizações no
http://msdn.microsoft.com e
http://www.microsoft.com sobre o Kerberos e como resolver problemas de delegação.

IIS 6.0

O documento técnico seguinte descreve como configurar a delegação no Microsoft Windows Server 2003. O documento técnico tem informações específicas sobre o Balanceamento de Carga na Rede (NLB), mas inclui excelentes detalhes sobre como configurar um cenário delegado sem utilizar o NLB. Para ver este documento técnico, visite o seguinte Web site da Microsoft:

http://technet.microsoft.com/en-us/library/cc757299.aspxNota Utilize os Nomes dos Principais do Serviço HTTP (SPNs), especialmente quando utiliza o NLB.

Outro problema popular do Kerberos recentemente foi a necessidade de permitir que vários conjuntos aplicacionais utilizem o mesmo nome DNS. Infelizmente, quando utiliza o Kerberos para delegar credenciais, não pode vincular o mesmo Nome principal de serviço (SPN) a diferentes conjuntos aplicacionais. Não pode fazê-lo devido à estrutura do Kerberos. O protocolo Kerberos requer vários segredos partilhados para que o protocolo funcione corretamente. Ao utilizar o mesmo SPN para diferentes conjuntos aplicacionais, eliminamos um destes segredos partilhados. O serviço de diretório do Active Directory não suportará esta configuração do protocolo Kerberos devido ao problema de segurança.

Configurar os SPNs desta forma faz com que a autenticação Kerberos falhe. Uma solução possível para este problema seria utilizar a transição de protocolo. A autenticação inicial entre o cliente e o Servidor IIS em Execução seria processada através do protocolo de autenticação NTLM. O Kerberos processaria a autenticação entre o IIS e o servidor de recursos de back-end.

Microsoft Internet Explorer 6 ou posterior

O browser do cliente pode ter problemas, como receber pedidos de início de sessão repetidos para credenciais ou mensagens de erro "Acesso Negado 401" do servidor que executa o IIS. Encontrámos os dois problemas seguintes que podem ajudar a resolver estes problemas:

  • Verifique se Ativar Autenticação Integrada do Windows está selecionado nas propriedades do browser.
     

  • Se a Configuração de Segurança Avançada do Internet Explorer estiver ativada em Adicionar/Remover Programas, tem de adicionar um site que utilize delegação à
    listasites fidedignos. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

    815141 A Configuração de Segurança Avançada do Internet Explorer altera a experiência de navegação
     

IIS 5.0 e IIS 6.0

Depois de atualizar do IIS 4.0 para o IIS 5.0 ou IIS 6.0, a delegação pode não funcionar corretamente ou, possivelmente, alguém ou uma aplicação modificou a propriedade de metabase NTAuthenticationProviders.

 

Uma área específica de problemas pode ocorrer quando define o SPN

Determinar o nome do servidor

Determine se está a ligar ao Web site com o nome NetBIOS real do servidor ou com um nome de alias, como um nome DNS (por exemplo, www.microsoft.com). Se estiver a aceder ao servidor Web com um nome diferente do nome real do servidor, tem de ter sido registado um novo Nome principal de serviço (SPN) através da ferramenta Setspn do Windows 2000 Server Resource Kit. Uma vez que o serviço de diretório do Active Directory não sabe este nome de serviço, o serviço de concessão de permissões (TGS) não lhe dá um pedido de suporte para autenticar o utilizador. Este comportamento força o cliente a utilizar o próximo método de autenticação disponível, que é NTLM, para renegociar. Se o servidor Web estiver a responder a um nome DNS de www.microsoft.com mas o servidor tiver o nome webserver1.development.microsoft.com, tem de registar www.microsoft.com no Active Directory no servidor que está a executar o IIS. Para tal, tem de transferir a ferramenta Setspn e instalá-la no servidor que está a executar o IIS.


Para determinar se está a ligar-se com o nome real, tente ligar-se ao servidor com o nome real do servidor em vez do nome DNS. Se não conseguir ligar ao servidor, consulte a secção "Verificar se o computador é fidedigno para delegação".

Se conseguir ligar ao servidor, siga estes passos para definir um SPN para o nome DNS que está a utilizar para ligar ao servidor:

  1. Instale a ferramenta Setspn.

  2. No servidor que executa o IIS, abra uma linha de comandos e, em seguida, abra a pasta C:\Programas\Resource Kit.

  3. Execute o seguinte comando para adicionar este novo SPN (www.microsoft.com) ao Active Directory do servidor:

    Setspn -A HTTP/www.microsoft.com webserver1Nota Neste comando, o webserver1 representa o nome NetBIOS do servidor.

Recebe um resultado semelhante ao seguinte:
Registar ServicePrincipalNames para CN=webserver1,UO=Controladores de Domínio,DC=microsoft,DC=com
HTTP/www.microsoft.com
Objeto atualizado
Para ver uma listagem de SPNs no servidor para ver este novo valor, escreva o seguinte comando no servidor que executa o IIS:

Setspn -L webservername Tenha em atenção que não tem de registar todos os serviços. Muitos tipos de serviço, como HTTP, W3SVC, WWW, RPC, CIFS (acesso a ficheiros), WINS e fonte de alimentação ininterrupta (UPS), serão mapeados para um tipo de serviço predefinido denominado ANFITRIÃO. Por exemplo, se o software de cliente utilizar um SPN de HTTP/webserver1.microsoft.com para criar uma ligação HTTP ao servidor Web no servidor webserver1.microsoft.com, mas este SPN não estiver registado no servidor, o controlador de domínio do Windows 2000 irá mapear automaticamente a ligação para HOST/webserver1.microsoft.com. Este mapeamento aplica-se apenas se o serviço Web estiver em execução na conta do Sistema local.

Verifique se o computador é fidedigno para delegação

Se este servidor que executa o IIS for membro do domínio, mas não for um controlador de domínio, o computador tem de ser considerado fidedigno para que a delegação do Kerberos funcione corretamente. Para tal, siga estes passos:

  1. No controlador de domínio, clique em Iniciar, aponte para Definições e, em seguida, clique em Painel de Controlo.

  2. No Painel de Controlo, abra Ferramentas Administrativas.

  3. Faça duplo clique Utilizadores e Computadores do Active Directory.

  4. No seu domínio, clique em Computadores.

  5. Na lista, localize o servidor que executa o IIS, clique com o botão direito do rato no nome do servidor e, em seguida, clique em Propriedades.

  6. Clique no separador Geral, clique para selecionar a
    caixa de verificaçãoFidedigna para delegação e, em seguida, clique em
    OK.

Tenha em atenção que se vários Web sites forem alcançados pelo mesmo URL, mas em portas diferentes, a delegação não funcionará. Para que isto funcione, tem de utilizar nomes de anfitrião diferentes e SPNs diferentes. Quando o Internet Explorer pede http://www.mywebsite.com ou http://www.mywebsite.com:81, o Internet Explorer pede um pedido de permissão para SPN HTTP/www.mywebsite.com. O Internet Explorer não adiciona a porta ou o vdir ao pedido SPN. Este comportamento é o mesmo para http://www.mywebsite.com/app1 ou http://www.mywebsite.com/app2. Neste cenário, o Internet Explorer irá pedir um pedido de suporte para o SPN http://www.mywebsite.com do Centro de Distribuição de Chaves (KDC). Cada SPN só pode ser declarado para uma identidade. Por conseguinte, também receberá uma mensagem de erro KRB_DUPLICATE_SPN se tentar declarar este SPN para cada identidade.

Delegação e Microsoft ASP.NET

Para obter mais informações sobre a configuração para delegar credenciais quando utiliza uma aplicação ASP.NET, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

810572 Como configurar uma aplicação ASP.NET para um cenário

de delegação Representação e delegação são dois métodos para um servidor se autenticar em nome do cliente. Decidir qual destes métodos deve utilizar e a respetiva implementação pode causar alguma confusão. Tem de rever a diferença entre estes dois métodos e examinar qual destes métodos poderá querer utilizar para a sua aplicação. A minha recomendação seria ler o seguinte documento técnico para obter mais detalhes:

http://msdn2.microsoft.com/en-us/library/ms998351.aspx

Referências



http://technet.microsoft.com/en-us/library/cc757299.aspxhttp://msdn.microsoft.com/msdnmag/issues/05/09/SecurityBriefs/default.aspx

262177 Como ativar o registo de eventos kerberos

Resolver problemas de falhas do Kerberos no Internet Explorer

Como sempre, pode submeter ideias sobre tópicos que pretende abordar em colunas futuras ou na Base de Dados de Conhecimento através do formulário Pedir.

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Descobrir Comunidade

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.

Pergunte à Comunidade Microsoft

Microsoft Tech Community (Comunidade Tecnológica Microsoft)

Utilizadores do Windows Insider

Microsoft 365 Insiders

Estas informações foram úteis?

Quão satisfeito está com a qualidade do idioma?
O que afetou a sua experiência?
Ao selecionar submeter, o seu feedback será utilizado para melhorar os produtos e serviços da Microsoft. O seu administrador de TI poderá recolher estes dados. Declaração de Privacidade.

Obrigado pelo seu feedback!

×