none
SSO mit NTLM und mehreren Domaincontrollern RRS feed

  • Frage

  • Hi,

    wir haben eine webbasierte Anwendung erstellt, die ohne Authentifizierung laufen soll.
    Dabei soll die Authentifizierung der Windows PCs verwendet werden.
    Die webbasierte Anwendung läuft auf einem Linux Server. Zur Authentifizierung soll NTLM zum Einsatz kommen.
    In diesem Netzwerk gibt es mehrere Domaincontroller (Windows Server), z.B. DC1 und DC2.
    Die Clients verwenden den Internet Explorer als Client Software.

    Die Authentifizierung zwischen Client, der webbasierten Anwendung auf dem Linux Server und dem Domaincontroller funktioniert grundsätzlich über NTLM.

    Das Problem ist Folgende:
    Wenn ein Benutzer (z.B. "LOCAL.DOMAIN\user") die webbasierte Anwendung im Internet Explorer öffnet, startet der Internet Explorer den NTLM Prozess mit der Anwendung. Wenn der Benutzer auf DC1 authentifiziert wird, dann wird der Benutzer auch gefunden und die Authentifizierung wird erfolgreich durchgeführt. Nimmt der DC2 die Aufgabe der Authentifizierung, dann geht es nicht und die Meldung "Benutzer nicht in der Domäne" wird angezeigt. Das Netzwerk findet über die Domain automatisch den Domaincontroller.

    Die Domaincontroller sind grundsätzlich synchronisiert. Eine unserer Ideen war: Der Client PC wird an einem DC (z.B. DC1) angemeldet. Wenn die NTLM Anfrage an den DC2 geht, dann passen die Domaincontroller nicht zusammen und die Authentifizierung wird zurückgewiesen.

    So kommt es, dass ein Benutzer sich mal authentifizieren kann (wenn er auf den richtigen Domaincontoller geht), oder nicht.

    Lösungsvorschläge sind willkommen.

    Grüße,
    Aladdin

    Mittwoch, 10. September 2014 07:38