locked
SharePoint + KCD (with normal AD authentication) RRS feed

  • Frage

  • Hi,

    I was wondering if it is possible to use KCD in combination with SharePoint (2010) or any other backend web service, when not using certificate based (or any other non username/password authentication at the portal/UAG). Normally you would use a customized .inc files (repository.inc) with KCDAuthentication_on = true.

    Has anyone successfully set this up or is it not possible at all (you have to use FBA or HTTP 401/NTLM)?

    Best regards

    Thomas
    Montag, 22. August 2011 20:04

Antworten

  • Hi Marc,

    lass das mal hier im deutschen Forum. Auf englisch brech ich mir mehr die Finger ab  ... :)

    Zu der Frage:

    Hi Thomas,

    Ja, SPS2010 und Kerberos klappt ohne Probleme. 

    KCD macht dich komplett unabhängig von der initialen Authentifizierungsmethode. Du kannst zum Beispiel OTPs oder ADFS für die UAG Anmeldung verwenden und anschließend ohne weitere Angabe von Windows Credentials direkt auf die SharePoint Site zugreifen. Die Magie erledigt hierbei die KCD optionen des UAG Computer Kontos im Active Directory. Im Grundegenommen bezweckt diese Option, dass dein UAG im Auftrag der DCs die Benutzer authentifizieren kann, um anschließend einen Zugriff auf die Dienste der angegebenen SPNs zu erhalten. Wenn der UAG Dienst letzten Endes der Meinung ist der Benutzer sei "genügend" authentifziert, dann rennt er zum DC und besorgt sich ohne weitere Rückfragen ein Kerberos Ticket für den Zieldienst.

    Die eigentliche Delegation des Kerberos Tickets zur SharePoint Site erfolgt dann via 401-Negotiate:Kerberos. Eine Forms basierte backend  Anmeldung  wird von KCD nicht unterstüzt. Hierfür müssen andere Tricks (e.g. Password injection, etc.) verwendet werden je nach dem was das für eine Site ist.  

    -Kai

    Dienstag, 23. August 2011 21:47

Alle Antworten

  • Hi Thomas,

    ich denke mal, Du hast im "falschen" Forum gepostet, zumindest was die Sprache angeht. Ich kann den Thread leider nur innerhalb der deutschen Foren verschieben und nicht in das englischsprachige IAG/UAG Forum. Wenn Du den Thread am besten neu im englischen Forum stellst, waere das besser?! 


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 23. August 2011 15:29
  • Hi Marc,

    lass das mal hier im deutschen Forum. Auf englisch brech ich mir mehr die Finger ab  ... :)

    Zu der Frage:

    Hi Thomas,

    Ja, SPS2010 und Kerberos klappt ohne Probleme. 

    KCD macht dich komplett unabhängig von der initialen Authentifizierungsmethode. Du kannst zum Beispiel OTPs oder ADFS für die UAG Anmeldung verwenden und anschließend ohne weitere Angabe von Windows Credentials direkt auf die SharePoint Site zugreifen. Die Magie erledigt hierbei die KCD optionen des UAG Computer Kontos im Active Directory. Im Grundegenommen bezweckt diese Option, dass dein UAG im Auftrag der DCs die Benutzer authentifizieren kann, um anschließend einen Zugriff auf die Dienste der angegebenen SPNs zu erhalten. Wenn der UAG Dienst letzten Endes der Meinung ist der Benutzer sei "genügend" authentifziert, dann rennt er zum DC und besorgt sich ohne weitere Rückfragen ein Kerberos Ticket für den Zieldienst.

    Die eigentliche Delegation des Kerberos Tickets zur SharePoint Site erfolgt dann via 401-Negotiate:Kerberos. Eine Forms basierte backend  Anmeldung  wird von KCD nicht unterstüzt. Hierfür müssen andere Tricks (e.g. Password injection, etc.) verwendet werden je nach dem was das für eine Site ist.  

    -Kai

    Dienstag, 23. August 2011 21:47
  • Hallo Thomas,

    Hat die Antwort von Kai deine Situation abgeklärt? Können wir den Forumsthread als Beantwortet schließen?

     

    Beste Grüße und ein schönes Wochenende.

    Alex.

    Freitag, 26. August 2011 11:42
  • Hi,

    das Problem ist wohl mittlerweile gelöst. Es wurden mehrere Fehler bei der Konfiguration der SPNs und des UAGs gemacht.

    Viele Grüße

    Thomas

    Sonntag, 28. August 2011 09:34