Jump to content
Sign in to follow this  
Ici

Problem mit Kerberos

Recommended Posts

Hallo

 

Habe leider ein Problem mit Kerberos-Authentifizierung, bei welchem ich

nicht weiterkomme. Folgende Umgebung ist vorhanden...

 

Habe einen Sharepoint-Server (Name: Webserver) aufgesetzt, welcher über die

Domain https://test.net von intern und extern erreichbar ist. Die Applikation

läuft unter dem Benutzer appbenutzer. Vom Internet her greifen die Benutzer

auf einen ISA 2006 zu, welchen ich Proxy nenne. Von intern greifen die

Benutzer direkt auf den Webserver zu (nicht den Umweg über den Proxy).

Nun habe ich einerseits einen SPN für den Benutzer appbenutzer definiert

(https/test.net) und andererseits einen SPN für den Proxy

(https/test.net:443).

Im Active Directory habe ich die Delegierung für den Webserver vorgenommen,

damit dieser allen Diensten vertraut.

Wenn nun Benutzer von extern über den Proxy auf den Webserver zugreifen, so

funktioniert dies mit Kerberos (ist im Eventlog auf dem Webserver

ersichtlich). Greife ich aus dem Lan auf den Webserver zu, gelingt dies

nicht. Im Eventlog bekomme ich einen Event 529 (Typ 3) mit der Meldung

"Unknown user name or bad password". Habe auf dem Client auch bereits

Kerbtray installiert und feststellen müssen, dass gar kein Ticket erstellt

wird.

Kann mir jemand einen Tipp geben, wie ich die Umgebung so einrichten kann,

dass von extern, wie auch von intern mittels Kerberos auf die Webapplikation

zugegriffen wird?

 

Danke und Gruss

Roland

Share this post


Link to post
Share on other sites

Wird extern als auch intern der Server mit demselben Namen FQDN angesprochen? Sonst müsste man wahrscheinlich zusätzliche SPN registrieren.

 

 

BTW: Du machst eine Reverse-Proxy Szenario, bzw. Webserver Veröffentlichung, oder?:suspect:

Bin jetzt nicht ganz sicher on Windows Integrierte Authentifizierung und SSL zusammen laufen...:suspect:

Share this post


Link to post
Share on other sites

Ja, intern und extern wird der gleiche FQDN und auch das SSL-Zertifikat verwendet. Der ISA wird als Reverse-Proxy eingesetzt.

Die Windows Interne Autentifizierung müsste eigentlich mit SSL zusammen funktionieren. Mit NTLM funktioniert es ja einwandfrei. Nur wenn ich auf Kerberos umstelle, funktioniert der Zugriff von intern nicht mehr. Von extern funktioniert er mit Kerberos.

 

Gruss

Roland

Share this post


Link to post
Share on other sites

Ja, beim MOSS 2007 ist dies in der Centraladministration konfigurierbar. Der Umweg über die Scripte ist nicht notwendig. Jedoch habe ich die Delegierung für den Benutzer nicht vorgenommen, mit welchem die Applikation läuft. Habe dies nun gemacht, kann es aber noch nicht testen, da ich den Server zur Zeit nicht umkonfigurieren darf.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...