我遇到了在使用Kerberos的testing环境中configurationIIS 7.0网站的问题。 我有安装了AD DS,AD RMS,DHCP,DNS和IISangular色的Windows Server 2008 R2试用版。 我已进入该网站的IIS安全设置并设置Windows身份validation以允许Kerberoslogin。
我遇到的问题是,它不是经常使用Kerberos的安全协议。 当我将IIS中的提供程序设置为“协商”时,Fiddler2指示标题将在50%的时间内返回NTLM标头,另外50%的时间将返回Kerberos标头。 如果我在IIS中将提供程序设置为“Negotiate:Kerberos”,则无法访问该站点,因为它会立即报告401错误。 此外,任何尝试使用Linux机器在任一configuration中连接到站点都会立即导致401安全错误。
任何人都可以提供一些见解或指导如何configuration? 我特别需要阻止任何回退到NTLM,除了启用Kerberos,无论我连接的机器。 到目前为止,我还没有find完全解决这个问题的任何technet或serverfault文章。
在Firefox中,您需要将其设置为在about:config network.negotiate-auth.trusted-uris和network.negotiate-auth.delegation-uris下使用Kerberos。
对于Chrome /铬铬铬浏览器-auth-server-whitelist =“company.com”
如果您想要设置一个Linux服务/应用程序来向IIS服务端点进行身份validation,则可以通过Linux框来对IIS托pipe的Windows站点进行身份validation,如下所示:
ktpass -princ HTTP/[email protected] -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytab myiis.site.comurl与您将要myiis.site.com的端点匹配; 并且SITE.COM与您的域名组件相匹配。 setspn -L myuser来检查你的SPN klist -c -k user.keytab /etc/heimdal/krb5.keytab
ktutil list