Hallo,
in unserem FirmenNetzwerk steht ein Server (Windows Server 2003) mit IIS6 der auf Port 80 lauscht - integrierte Windows-Authentifizierung ist aktiviert. Ruft ein Nutzer das Intranet auf, geht der erste Request an diesen IIS, der versucht ihn zu identifizieren. Wenn das klappt schaut die default.aspx im LDAP nach diesen Nutzer(speziell seiner Org-Einheit) und erzeugt einen Frame der auf ein spezifisches Projekt auf einem Tomcat-Server weiterleitet. Dies funktioniert bei ueber 99% der Nutzer - ein paar koennen jedoch nicht authentifiziert werden - diese erhalten eine 401.1 Fehlermeldung - auch nach der richtigen Eingabe der Windows-Anmeldung in der Eingabeaufforderung des IIS.
Als Workaround habe ich die Adresse für den Tomcat-Frame für diese speziellen Nutzer selber erstellt, und es sie ausprobieren lassen. Jedoch konnten Sie auch nicht am Tomcat authentifiziert werden (der Tomcat hat ebenfalls ein Modul mit dem er im LDAP nach dem Nutzer schauen kann). Im Log des Tomcats konnte ich aber festellen, dass die betroffenen Nutzer ihre Anmeldedaten 'anders' senden
als Beispiel 2 Logeinträge des tomcat:
2006-05-12; 07:11:48.447; (W); User $username@$domain on \$computername is authenticate with NTLM RdAuthWeblet;
Dieser Nutzer kann in kommunikation mit dem LDAP nicht gefunden werden
2006-05-12; 10:18:50.980; (W); User $username on $domain\$computername is authenticate with NTLM RdAuthWeblet;
Dieser Nutzer wird ohne Probleme im LDAP gefunden
Wie kann es also sein dass Nutzer in einer Windows-Domain ihre Anmeldung in 2 verschiedenen Formaten uebergeben??
...
ich hatte das gestern schon im usenet gepostet - haenge es vorsichtshalber mal mit ran
über eine Lösung wäre ich hocherfreut!
mfg
##################################
Hello,
we have an IIS6 running in our lan, which has integrated windows
authentification turned on. After a request by an employee the server
tries to identify the user and get information about him from LDAP.
Depending on the value of organisation from LDAP the IIS renders a
frame with a redirect to a specific project on a Tomcat-Server. This
Server delivers a personalized intranet for about 3000-4000 employees.
Now there are some users which can not be identified. They type in
their windows-account-information but keep getting an 401.1. I looked
into their LDAP-profiles and everything seems to be ok. So i looked for
their organisation and produced their link for the tomcat, send the
link to the affected users and they tried ...
the tomcat has a module which looks for the users in LDAP, to get
information about them and personalize their view on the intranet.
Exactly the group of users which can't be identified by the IIS also
can't be identified by the tomcat. So i looked into the log and i saw
one difference to users which can be identified - the syntax the client
sends it's account with.
working: user on domain/computername
not working: user@domain on computername
so when the user sends it's account information like 'me@company on
my_pc' he won't be identified, with the syntax like 'me on
domain/computername' the authentification is successful.
so my question: how can it be that a user sends his account-information
with that 'wrong' syntax
we also checked out the traceroute - no proxy or firewall between the
user and the IIS