Jump to content

Problem mit Kerberos


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

Habe leider ein Problem mit Kerberos-Authentifizierung, bei welchem ich

nicht weiterkomme. Folgende Umgebung ist vorhanden...

 

Habe einen Sharepoint-Server (Name: Webserver) aufgesetzt, welcher über die

Domain https://test.net von intern und extern erreichbar ist. Die Applikation

läuft unter dem Benutzer appbenutzer. Vom Internet her greifen die Benutzer

auf einen ISA 2006 zu, welchen ich Proxy nenne. Von intern greifen die

Benutzer direkt auf den Webserver zu (nicht den Umweg über den Proxy).

Nun habe ich einerseits einen SPN für den Benutzer appbenutzer definiert

(https/test.net) und andererseits einen SPN für den Proxy

(https/test.net:443).

Im Active Directory habe ich die Delegierung für den Webserver vorgenommen,

damit dieser allen Diensten vertraut.

Wenn nun Benutzer von extern über den Proxy auf den Webserver zugreifen, so

funktioniert dies mit Kerberos (ist im Eventlog auf dem Webserver

ersichtlich). Greife ich aus dem Lan auf den Webserver zu, gelingt dies

nicht. Im Eventlog bekomme ich einen Event 529 (Typ 3) mit der Meldung

"Unknown user name or bad password". Habe auf dem Client auch bereits

Kerbtray installiert und feststellen müssen, dass gar kein Ticket erstellt

wird.

Kann mir jemand einen Tipp geben, wie ich die Umgebung so einrichten kann,

dass von extern, wie auch von intern mittels Kerberos auf die Webapplikation

zugegriffen wird?

 

Danke und Gruss

Roland

Link zu diesem Kommentar

Ja, intern und extern wird der gleiche FQDN und auch das SSL-Zertifikat verwendet. Der ISA wird als Reverse-Proxy eingesetzt.

Die Windows Interne Autentifizierung müsste eigentlich mit SSL zusammen funktionieren. Mit NTLM funktioniert es ja einwandfrei. Nur wenn ich auf Kerberos umstelle, funktioniert der Zugriff von intern nicht mehr. Von extern funktioniert er mit Kerberos.

 

Gruss

Roland

Link zu diesem Kommentar

Ja, beim MOSS 2007 ist dies in der Centraladministration konfigurierbar. Der Umweg über die Scripte ist nicht notwendig. Jedoch habe ich die Delegierung für den Benutzer nicht vorgenommen, mit welchem die Applikation läuft. Habe dies nun gemacht, kann es aber noch nicht testen, da ich den Server zur Zeit nicht umkonfigurieren darf.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...