Wie kann ich IIS Windows Auth-Provider mit powershell?
Gibt es eine Möglichkeit, ich kann Hinzufügen/Entfernen/neu Anordnen-Windows-Authentifizierungsanbieter mithilfe von powershell in IIS 7.5?
Ich mir gesagt,, und haben keine Beweise gefunden, um dem entgegen, dass die NTLM-Anbieter ist schneller als Verhandeln, wenn mit Windows-Auth. Dies kann oder kann nicht in Kombination mit Silverlight 4 .NET 3.5, ein Windows 2003 Active directory und IIS6.
Da diese Aussage wurde mir gesagt, wir haben ein Upgrade auf IIS7.5 ( Server 2008R2 ), SilverLight 5 und das .NET 4.5, aber ANZEIGE läuft immer noch bei 2003 Funktion Ebene.
Mein Ziel ist es, Sie immer sicher, dass der NTLM-Anbieter zuerst aufgeführt ist in der Liste der enabled-Anbieter in IIS 7.5.
Dank
Du musst angemeldet sein, um einen Kommentar abzugeben.
Können Sie nur aktivieren und deaktivieren Sie die Authentifizierung Methoden zur Verfügung unter dem folgenden Abschnitt:
Dies ist, weil
system.webServer/authentication
ist nicht eine Sammlung und nicht unterstützenadd
undremove
config-Elemente. Werfen Sie einen Blick in die IIS-Konfigurations-schema-Datei:Suche nach
system.webServer/security/authentication
und Sie werden sehen, dass jedes Kind-element des Abschnitts ist explizit definiert, und es gibt keine definition fürsystem.webServer/security/authentication
selbst.Hinsichtlich der Bestellung, es macht keinen Unterschied beim ändern der Authentifizierungsmethode, um. Zum Beispiel in der folgenden Reihenfolge (Basic ist, bevor Windows Authenticaton):
und wenn ich die Reihenfolge tauschen:
...immer bewirkt, dass IIS senden Sie die folgende Header an den browser in die 401 Herausforderung (erfasst mit Fiddler):
In der oben IIS ist ein Hinweis an den browser, der es unterstützt, Kerberos, NTLM oder Basic-Authentifizierung. Out of the box diese Authentifizierungsmethoden sind immer in dieser Reihenfolge, unabhängig von der browser-Hersteller (ich habe versucht, IE und Chrome).
Aus meinen Beobachtungen mit Fiddler, IE und Chrome versucht die Verhandlung mit dem ersten verfügbaren unterstützte Methode, die von diesem browser. d.h. in diesem Fall sowohl IE und Chrome ausgehandelt Kerberos-Authentifizierung:
Wenn Sie base64-decodieren der
Negotiate
Wert es sagt:Ist es möglich, entfernen Sie die Kerberos - (Aushandeln) - Methode by doing:
Jedoch versuchen, zu ändern die Reihenfolge, indem Sie die folgenden haben keinen Effekt:
Werden Sie noch gesendet werden, die
WWW-Authenticate:
- Header in der Reihenfolge:Ist es möglich, dies zu tun mit powershell.
Für das Szenario, ich war mit arbeiten wollte ich konfigurieren Sie eine bestimmte Website eher als eine änderung der Standard-Einstellung.
Ist dies nicht möglich, in einer web.config, die standardmäßig als alle Authentifizierungs-Einstellungen festgelegt sind, um overrideModeDefault="Deny". Dies bedeutet, dass die änderungen, die vorgenommen werden müssen, um applicationhost.config direkt.
Dem Ergebnis, was ich suchte war:
Durch eine klar, bevor man den Provider wieder in der Reihenfolge Ihrer Priorität geändert.
Zunächst deaktivieren Sie die anonyme Authentifizierung und windows-Authentifizierung aktivieren ich verwende die folgenden:
Dann fügen Sie die
<clear />
tag:Schließlich, fügen Sie den Anbieter, um: