IIS: die Verwendung von Kerberos mit client-Computern, die nicht auf der Domäne

Kann ein computer, der NICHT Teil der Domäne ist (aber am Netz) das authentifizieren gegen die auf einer Website veröffentlicht, die von IIS8, wo die Authentifizierung der Website ist "Windows-Authentifizierung", nur mit einem einzigen Anbieter von "Negotiate:Kerberos" (und die Kernelmodus-Authentifizierung deaktiviert)?

Ich Frage, weil ich versuche, genau dies zu tun, aber ich kann nicht vorbei an der Authentifizierung auf die Website (noch allein versucht, übergeben Sie die Authentifizierung auf die Datenbank). Ich sehe die "WWW-Authenticate: Negotiate" - header der Antwort an den client, der client aber immer nur scheint das senden einer "NTLM-Type1: die Verhandlung" (NTLMSSP) in der nachfolgenden (neu -) Anträge. Entweder das, oder bin ich der Interpretation der Ergebnisse von Fiddler2 falsch!

Ich bin mit Kerberos als die meisten der Kunden werden Domänencomputer und ich übergeben zu müssen Anmeldeinformationen der Benutzer von der web-Anwendung an die Datenbank. Ich hatte gehofft, dass ich wäre in der Lage, das gleiche zu tun mit nicht-domain-Computern und Sie würde einfach werden aufgefordert, einen Benutzername/Domäne/Passwort, wäre validiert und umgewandelt, um ein Kerberos-ticket auf dem server.

Beachten Sie, dass für Testzwecke, Windows 8 ist sowohl der server als auch der client. In der Produktion, wird der server Windows 2008 R2 Server und client wird in Erster Linie Windows 7 (wenn es einige Windows-8-clients).

InformationsquelleAutor Martin Robins | 2013-01-08

  1. 2

    Kerberos nicht Arbeit auf Konten/Rechnern, die nicht Teil der Domäne sind.
    Sie haben zwei Optionen, um erreichen Ihr Ziel:

    1. Anfrage die Daten der Benutzer mit Basic-auth und pass auf LogonUserEx. Sehen diese für die Antworten.
    2. Die Authentifizierung des Benutzers durch andere Mittel und verwenden S4U2self (protocol transition).
    Ich hatte ein schreckliches Gefühl, das werde der Fall sein. Ich denke, dass für jetzt, die Anwendung ist nur verfügbar für Computer, die Teil der Domäne. Ich hatte gehofft, es könnte für alle domain-Benutzer auf jedem computer, der war einfach auf der LAN, aber ich muss in der Lage sein, verwenden Sie das automatische Windows-Authentifizierung für lokale Benutzer, während die Weitergabe der Anmeldeinformationen, die vom IIS-server, auf dem SQL server.
    was hast du erwartet? Wenn jemand nicht Teil der Domäne ist er/Sie nicht offensichtlich Kerberos verwenden. Es gibt keine versteckte Magie.
    Ich hatte erwartet, eine ähnliche Erfahrung zu NTLM; wenn der computer nicht in der Domäne, die pop-up ein Dialogfeld anmelden und authentifizieren der Anmeldeinformationen für die Domäne. Dann verwenden Sie diese Anmeldeinformationen in jeder Doppel-hop. Ich verstehe jetzt, dass mit Kerberos-browser ist eigentlich dafür verantwortlich, dass diese Anmeldeinformationen aus der Domäne in den ersten Platz, und senden Sie Sie mit dem Anfrage - und damit den Grund, dass Sie nicht von einem computer, der nicht in der domain.#
    Ja, Ihr Verständnis des browser-Verhalten ist korrekt.
    Dies ist wirklich alt, aber vorausgesetzt, Ihr KDC ist über das internet erreichbar ist, warum kann nicht der client nur "kinit user@DOMAIN" und erhalten Sie einen ticket-einsetzbar für Authentifizierung? Ich habe viele *nix-Maschinen, an denen ein Benutzer könnte kinit und Holen Sie sich ein kerberos-ticket, das ticket für den Zugriff auf remote-Servern, aber die Nixe Maschinen selbst waren nicht Teil der Domäne sind.

    InformationsquelleAutor Michael-O

Schreibe einen Kommentar