none
הגדרת SPN לטובת KERBEROS RRS feed

  • שאלה

  • שלום,

    יש לי שרת וירטואלי בדומיין של החברה.

    על השרת מותקנת אפליקציית ווב מבוססת IIS אשר פועלת עם פורט 80 וכן עם 443 עם CERTIFICATE של דומיין אחר מאשר של הדומיין שאליו מחובר השרת.

    ה IIS מוגדר לעבוד עם Negotiate לטובת KERBEROS.

    בעבודה עם פורט 80 - שימוש בשם המכונה בדומיין או בכתובת ה IP הפנימית בפנייה לURL - הכל עובד עם SSO.

    בעבודה עם פורט 443 יש בעיה עם ה KERBEROS - בפידלר ניתן לראות NEGOTIATE מצד השרת אך טיקט של NTLM חוזר מה DC (כנראה עקב העובדה כי הוא לא יכול להחזיר טיקט של KERBEROS)

    1. האם הקונפיגורציה שהגדרתי (=שם הדומיין ב CERT שונה מהדומיין ממנו מגיע המשתמש) תקפה?

        אם כן - אני משער שהבעיה שלי היא ב SPN..

        ניסיתי להגדיר - 

       Setspn.exe -A HTTPS/<VM_Machine_Name> <domain\app_user>

       Setspn.exe -A HTTPS/<FQDN of the VM_Machine_Name> <domain\app_user>

       Setspn.exe -A HTTPS/<Site URL matching the cert> <domain\app_user>

       

    Setspn.exe -A HTTPS/<Site URL matching the cert> <FQDN of the VM_Machine_Name>

    RESET למכונה..

    עדיין לא עובד...

    תודה מראש על כל עזרה..


    יום שני 25 ספטמבר 2017 10:52

כל התגובות

  • שלום רב,

    מהן ההגדרות ברמת ה-IIS?

    https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis/


    Best Regards,

    Yuval Sinay

    Blog: http://blogs.microsoft.co.il/blogs/yuval14  LinkedIn:   

    Note: Posts are provided “AS IS” without warranty of any kind, either expressed or implied, including but not limited to the implied warranties of merchantability and/or fitness for a particular purpose.

    יום שלישי 03 אוקטובר 2017 21:18