Remove From My Forums

SharePoint 2010 NTLM Anmeldung Domain fix angeben

Frage
0

Anmelden

Hallo zusammen,

Seit Tagen versuchen Wir die web.config (/inetpub/.../443) so anzupassen dass der IE9 oder andere Modelle automatisch die Domain beim Anmelden zugewiesen bekommen. (ohne dass man Sie händig angeben muss oder eine andere genommen wird)

Domain = FIRMA

1. In Unserem Netz (FIRMA) klappt alles gut.

2. In einer anderen Domain (FIRMA-Y) wird leider automatisch die andere Domain vorgesetzt.

Benutzername Eingabe + Passwort = FIRMA-Y\Benutzername daraus folgt falscher Login.

erst nach der korrigieren von FIRMA-Y nach FIRMA klappt es.

3. Externe ohne Domain klappt auch nicht.

Jetzt könnte man sagen dies Stellt man im IE ein oder die Benutzer geben FIRMA vorher ein..... Aber bei einer Benutzerzahl von 36000 Studenten und Mitarbeiter ist dies schlecht.

Ein Mittarbeiter Teil wird mit den AD Accounts arbeiten ... da bietet sich NTLM an (auto login usw.)

Firefox kann dies.. aber der IE leider nicht.

Eingestellte Provider: Claim Base --- Windows Auth.: NTLM und Basic

Vielleicht kennt einer eine Lösung. DANKE !

Mittwoch, 11. Mai 2011 09:11

Antworten

|

Zitieren

Antworten

0

Anmelden
Ich bin mir gerade nicht 100% sicher, aber IMHO kennt der Firefox keine

NTLM-Authentifizierung, sondern in diesem Fall wird ggf. auf

Basic-Authentifizierung zurückgegriffen. Hier wird dann immer die Domäne

des Zielsystems vor dem Benutzernamen angestellt :)

Das die Authentifizierung per FBA angeht, so kannst du dein

SharePoint-Portal von intern und von extern mit unterschiedlichen

Authentifizierungsanbietern austatten. Für den Zugriff von extern z.B.

FBA, von innen NTLM (= SSO). Das Zauberwort lautet hierbei Alternet

Access Mapping (AAM) und "Zonen".

--

Henning Eiben

busitec GmbH

Consultant

Rudolf-Diesel-Straße 59

48157 Münster

www.busitec.de

Sitz der Gesellschaft: Münster

HR B 55 75 - Amtsgericht Münster

USt-IdNr. DE 204607833 - St.Nr. 336/5704/1277

Geschäftsführer: Henning Eiben, Martin Saalmann, Simon Schwingel
- Als Antwort vorgeschlagen Henning Eiben Mittwoch, 18. Mai 2011 07:03
- Als Antwort markiert Andrei Talmaciu Donnerstag, 19. Mai 2011 19:22
Donnerstag, 12. Mai 2011 10:30

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Was kann der Firefox in diesem Zusammenhang genau?

Also die Domäne, die bei der Anwendung verwendet wird, ist immer die

Domäne des anmeldenden Benutzers (bei NTLM). Das entspricht also genau

dem Verhalten wie du es beschreibst. Interne Anwender gehören zur Domäne

FIRMA und somit wird bei der Anmeldung immer FIRMA\Account übermittelt,

auch wenn nur "Account" eingegeben wurde.

Bei Benutzern aus FIRMA-Y wird dementsprechen FIRMA-Y vorangestellt,

wenn die Benutzer nicht den Domänen-Namen mit angeben.

Das kann man nicht ändern. Alternative: nicht NTLM verwenden. Bei

anderen Authentifizierungsmethoden kann man das womöglich

anpassen/beeinflussen, wie z.B. FBA oder ggf. auch bei Kerberos, indem

man dort einen bestimmten Realm mit vorgibt. Aber Kerberos dürfte in

einem Szenario mit Zugriff von extern nicht funktionieren.

--

Henning Eiben

busitec GmbH

Consultant

Rudolf-Diesel-Straße 59

48157 Münster

www.busitec.de

Sitz der Gesellschaft: Münster

HR B 55 75 - Amtsgericht Münster

USt-IdNr. DE 204607833 - St.Nr. 336/5704/1277

Geschäftsführer: Henning Eiben, Martin Saalmann, Simon Schwingel

Mittwoch, 11. Mai 2011 17:39

Antworten

|

Zitieren
0

Anmelden

Hallo Henning,

Danke für die schelle Antwort!

- Nun beim Firefox funktioniert der Login ohne zusätzlich die Domain anzugeben. Login: Account und man kommt rein. (intern / extern egal). Beim IE wird automatisch die Domäne benutzt. (Dies funktionierte auch schon als die Windows Authentifizierung nur auf NTLM stand.)

Beispiel in FIRMA-Y Firefox klappt ohne Domain FIRMA anzugeben, beim IE muss man Domain FIRMA\Account angeben.

OK... Wenn man bei den SharePoint Einstellungen (web.config oder IIS) nicht die richtige Domain fest für den IE vorgeben kann, da bei diesem Verfahren immer die lokale Domain abgefragt wird (Client seitig), man nur die Authentifizierungsmethoden ändern.

Noch kurz eine Frage:

Wenn Wir auf FBA umstellen ist es dann möglich das Domänen Benutzer die an Ihren Rechnern arbeiten (FIRMA) sich beim Öffnen der SharePoint Seite im IE automatisch anmelden durch Ihre Domänen credentials ?

Donnerstag, 12. Mai 2011 09:45

Antworten

|

Zitieren
0

Anmelden
Ich bin mir gerade nicht 100% sicher, aber IMHO kennt der Firefox keine

NTLM-Authentifizierung, sondern in diesem Fall wird ggf. auf

Basic-Authentifizierung zurückgegriffen. Hier wird dann immer die Domäne

des Zielsystems vor dem Benutzernamen angestellt :)

Das die Authentifizierung per FBA angeht, so kannst du dein

SharePoint-Portal von intern und von extern mit unterschiedlichen

Authentifizierungsanbietern austatten. Für den Zugriff von extern z.B.

FBA, von innen NTLM (= SSO). Das Zauberwort lautet hierbei Alternet

Access Mapping (AAM) und "Zonen".

--

Henning Eiben

busitec GmbH

Consultant

Rudolf-Diesel-Straße 59

48157 Münster

www.busitec.de

Sitz der Gesellschaft: Münster

HR B 55 75 - Amtsgericht Münster

USt-IdNr. DE 204607833 - St.Nr. 336/5704/1277

Geschäftsführer: Henning Eiben, Martin Saalmann, Simon Schwingel
- Als Antwort vorgeschlagen Henning Eiben Mittwoch, 18. Mai 2011 07:03
- Als Antwort markiert Andrei Talmaciu Donnerstag, 19. Mai 2011 19:22
Donnerstag, 12. Mai 2011 10:30

Antworten

|

Zitieren
0

Anmelden

Hallo Henning,

danke für den Tipp !

Der Ansatz mit den Zonen und AAM ist sehr gut ;)

Wir haben nun Eine Default Web Application Zone=Default und zu dieser eine Extend Web Application Zone=Intern

Daraus ergibt sich:

1. Authentication Provider Zone=default https:\\rechner.firma.de (auth = NTLM)    IIS = FIRMENSEITE-A

2. Authentication Provider Zone=intern http:\\rechner.firma.de (auth = Basic)   IIS = FIRMENSEITE-B

Alternativ Access Mapping

Internal                            Zone              Public

https://rechner.firma.de   Default            https://rechner.firma.de

http://rechner.firma.de     Intranet          http://rechner.firma.de

(oder man macht eine URL https://rechner.firma.de = alle und eine URL https://intern.rechner.firma.de)

Soweit so gut... so würde es gehen

Schöner wäre es nur eine https://rechner.firma.de Adresse zu haben und das System merkt jetzt kommt ein Benutzer aus der Domain firma.de dann nimmt er die Zone=Intranet und alle anderen bekommen die Zone=Default. Dies konnten Wir mit AAM nicht umsetzen. Vielleicht kann man dies über ein Einstellung im IIS realisieren?

Firefox: In die Adresse Zeile: about:config eingeben und bestätigen. Unter der Suche (oben) NTLM eingeben.

Dort ist eine NTLM Unterstützung.

Für Auto Logins usw. : “network.automatic-ntlm-auth.trusted-uris” = Vertrauenswürdiger Server.

Gruß Christoph Dederichs

Freitag, 13. Mai 2011 07:32

Antworten

|

Zitieren

Anmelden

Das ist IMHO nicht möglich, dass SharePoint erkennt woher du kommst.

-- 

Henning Eiben

busitec GmbH
Consultant


Rudolf-Diesel-Straße 59
48157 Münster
www.busitec.de
  
Sitz der Gesellschaft: Münster
HR B 55 75 - Amtsgericht Münster
USt-IdNr. DE 204607833 - St.Nr. 336/5704/1277
Geschäftsführer: Henning Eiben, Martin Saalmann, Simon Schwingel

Mittwoch, 18. Mai 2011 07:03

Anmelden

Ein weiterer Ansatz ist es im IIS zu filtern.

http://rechner.firma.de --> IIS seite schaut sich die IP an und macht dann einen redirect nach intern.firma.de oder extern.firma.de.

code: default.asp

<HTML>
<BODY>

<TABLE>
   <TR>
      <TD>
        <%I=Request.ServerVariables("REMOTE_ADDR")%>
				<%if InStr(I, "192.168.1.") then Response.Redirect "https://intern.firma.de" else Response.Redirect "https://extern.firma.de"%>					
      </TD>
   </TR>
</TABLE>

</BODY>
</HTML>

klappt aber leider nur mit IPs.

Mittwoch, 1. Juni 2011 07:27

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

SharePoint 2010 NTLM Anmeldung Domain fix angeben

Frage

Antworten

Alle Antworten