我目前遇到SharePoint网站上的身份validation问题。 常规地,用户帐户(一次只有一个)将被locking,他们将得到401个未经授权的错误。 SharePoint实施仅使用本地用户帐户,具有SSL和NTLM身份validation。 我不知道确切的networkingconfiguration(我不是networkingpipe理员),但可能涉及代理。 当networkingpipe理员调查问题时,该帐户再次运行。 所以也是间歇性的。 我的问题是:
1.有没有人遇到过这个?
2.)切换到基本身份validation解决这个问题? 在涉及代理的情况下,WSS对NTLM进行了简短的窃窃私语。
3.)SSL和IWA在一起有点矫枉过正? 我的意思是密码和login将被发送encryption在基本身份validation用SSL呢? IWA在非域外网的好处似乎对我毫无用处。
检查IIS日志文件,查看是否有模式 – 特定的资源获取401s还是通用的。
通常的问题是某些资源可能位于服务器(文件系统)文件夹中,并且可能无法被所有用户访问。 这些资源可以从特定的页面单独链接,所以错误可能是间歇性的。 记住SharePoint默认情况下在模拟的上下文中运行请求。
如果这是Kerberos,我希望看到一个谈判(或者我假设错了?)
谈判可能是Kerberos或ntlm。 ntlm肯定意味着ntlm。
要确认使用的身份validation方法,请检查身份validation标头的第一个字符。 如果是“T”,则是ntlm。 如果是“Y”,则是kerberos。
http://support.microsoft.com/kb/891032
请注意,您可以将IISconfiguration为需要NTLM,但不能以其他方式工作(需要Kerberos)。 虽然会很好。
如果您需要encryption内容,SSL并不过分。 没有SSL的Kerberos对于身份validation足够安全,但不会encryption内容。
“本地”账户是什么意思? 您在外部网中有独立/非域的共享点服务器,并且用户使用非域/本地帐户login?
在很多情况下,NTLMauthentication通过代理得到解决 – 尽pipe我希望大多数代理人现在已经纠正了这种行为。
我会检查您的WSS站点是否设置为受信任的站点/ Intranet,并且您的浏览器设置会自动传递身份validation凭据。 它可能会帮助,如果它实际上是一个域,但听起来像是不是这样的。
您可以始终回退到基本身份validation,但是如果您要使用此路线,请务必使用SSL。
这是事情。 Sharepoint使用模拟。 这意味着你不应该使用NTLM – 你应该使用Kerberos。 这是一个非常大的区别。 NTLM并不意味着“集成的Windows身份validation”。
所以这里是你需要做的。 转到安全事件日志下的Sharepoint服务器。 在那里,你应该看到所有的用户都使用“Kerberos”而不是“NTLMSSP”进行身份validation。 如果您看到使用NTLM授予访问权限,那么您可能需要为Sharepoint定义一个服务主体名称(这意味着80%的时间)。 如果你使用别名运行你的SharePoint站点,你也需要为别名设置一个服务主体名称,因为IE7有一个错误,它间歇地请求错误的SPN的票据。
所以我的三个提示是: