none
[IIS6.0] Integrated Windows Authentication: não autentica RRS feed

  • Pergunta

  • Prezados,
    primeiramente, sou novo aqui no forum da TECHNET, porem, sempre usava como anonimato, até que hoje, sem conseguir obter respostas para o meu problema, estou criando o meu primeiro post eheh

    Seguinte:
    - Windows 2003 Standard SP2
    - Servicos rodando: DNS, AD, IIS
    - IIS ja esta com um site configurado e rodando normalmente na porta 80 (não fui eu quem o configurei)

    O que acontece:
    Quando tento acessar http://teste.local , ele pede usuario/senha ... ja digitei zilhoes de vezes todos tipos de usuarios e senhas , e nao funciona ... oque acontece ?

    O que eu ja fiz:
    - Ja olhei o eventview, nada de erro
    - Estou tentando criar um novo site (diretorio), o qual roda atraves de ASP , ja rodei o asp_regiis do framework 2.xxxx e foi instalado com sucesso no IIS
    - Nesse novo site, ja alterei o cabecalho ((www.teste.local)apenas como um teste, para ver se roda OK), e com isso criei uma zona direta no DNS com um registro A (www, apontando para o IP do IIS, que por sinal é a mesma maquina) .. obs: rodando na porta 80
    - Ja dei permissão de pasta onde fica os arquivos do site
    - Estou tentando usar como metodo de autenticao o Integrated Windows, sem acesso a anonimos
    - Ja rodei o setspn (Setspn -a HTTP/nome-servidor dominio\(usuario)) e tambem o (Setspn -a HTTP/nome-servudor.dominio dominio\(usuario)) ,maas, quando eu dou um -l , não aparece nada de "http"
    - Utilizei um software(nao lembro o nome agora) do IIS para verificar autenticacoes , permissoes , e ja configurei certo, mass, quando eu rodei denovo, ele acusa que nao setei as configuracoes nas pastas ... como isso ??
    terça-feira, 9 de fevereiro de 2010 11:56

Respostas

  • Entãão !!
    comecei do zero, numa maquina virtual, como o próprio Pablo disse , e deu certo
    os passos que realizei:
    1) Instalei o IIS
    2) Instalei o Framework via Windows Update
    3) Setei as permissões(Policys tambem) da acordo com um KB da Microsoft, justamente para IIS6
    4) Criei um novo site, utilizando cabeçalhos
    5) Criei uma zona no DNS, com registro do tipo  A
    6) Defini os DOCUMENTS numa ordem especifica
    7) Setei a aplicação para rodar ASP versão 2.0xxx

    Acredito que foram esses passos que fiz, no final das contas, deu tudo certo, sem erro algum ! :)

    Agradeço a todos que me ajudaram !!


    Edit: Deixei como anonimo o acesso, sem usar o Integrated Windows Authentication, pois como não fui eu quem configurei o WEB.CONFIG , não faço idéia por inde começar para integrar o ASP com o IIS nessa parte de autenticação , porem , para quem quer se aventurar: http://msdn.microsoft.com/en-us/library/ms998358.aspx
    • Marcado como Resposta Maurício Costa quinta-feira, 18 de fevereiro de 2010 00:21
    quinta-feira, 18 de fevereiro de 2010 00:03

Todas as Respostas

  • Maurício,

    Seja bem vindo ao fórum TechNet. Qual a permisão NTFS que você aplicou no diretório do site?
    Pablo Weyne - http://www.iishelp.com.br - @pabloweyne
    terça-feira, 9 de fevereiro de 2010 12:42
  • System: full
    network service: wriet/read/execute
    iusr_xxx : read/execute
    iis_wpg: read/execute
    aspnet: read/execute
    Administrators: full


    As outras pastas (ex: system32/inetsrv ... iishelp/common) eu peguei as permissoes direto do site da Microsoft de um KB referente.
    terça-feira, 9 de fevereiro de 2010 13:01
  • Mas na pasta não tem os usuários do AD. Você tem que por o grupo do AD.
    Pablo Weyne - http://www.iishelp.com.br - @pabloweyne
    terça-feira, 9 de fevereiro de 2010 13:15
  • Opaa !!
    erro de digitação, realmente faltou eu digitar aqui o "users"

    ele ja ta na NTFS normalmente, por herança,e tem read/execute

    terça-feira, 9 de fevereiro de 2010 13:48
  • Fala Maurício!

    Tudo bem?

    Meu amigo, só para complementar o que o meu amigo Pablo disse, este tipo de problema está associado à permissões de segurança. No caso, quando você desativa a autenticação anônima, o IIS entende que não deve mais usar a conta do IIS (IUSR_Máquina) para acessar o site e, de acordo com o método de autenticação que você precisa no seu ambiente (pelo que entendi, no seu caso você precisa da autenticação integrada), o IIS coleta as credenciais do usuário e confronta com a lista de permissões configurada na pasta onde o site se encontra.

    Sendo assim, para resolver o problema você deve retirar a conta IUSR_Máquina lá da lista, pois ela só seria usada caso o acesso fosse anônimo. Deixá-la lá também não causa nenhum transtorno, pois a autenticação anônima foi desativada. Retirar a conta de lá seria só uma questão de ajuste de segurança, uma vez que a referida conta não é necessária na lista.

    Feito isso, adicione as contas/grupos que precisam deste acesso na lista de permissões desta pasta. O problema deve ser resolvido.

    só para se certificar de que o problema realmente é este, você pode, temporariamente, incluir o grupo Todos na lista de permissões. Se o problema realmente for este, você irá perceber que o site irá voltar a funcionar imediatamente.

    Faz os testes aí e depois manda o feedback pra gente.

    Um abraço,

    Igor Humberto
    terça-feira, 9 de fevereiro de 2010 14:00
  • Obrigado Igor e Pablo,

    vou fazer isso que você disse Igor, e já te dou o feedback (estou em casa no momento)
    maaaas, pensando desse jeito, era para o usuario Administrator funcionar, certo ?? já que ele tem permissões suficientes ... mas não é oque acontece.

    Mas tentarei colocando o everybody e dando permissoes.

    obrigado por enquanto
    terça-feira, 9 de fevereiro de 2010 14:14
  • Quando ele pede login e senha, você está colocando domínio\usuário ou somente usuário?
    Pablo Weyne - http://www.iishelp.com.br - @pabloweyne
    terça-feira, 9 de fevereiro de 2010 14:34
  • Acabei de fazer o teste aqui, coloquei o grupo EVERYONE, dei full , e mesmo assim, nada !!

    Sobre a forma de login: dominio\usuario  ... tentei com o administrator e com uma outra contra, ambas nao foram. Sobre o software, se chama "Auth Dianostic 1.0" quando executo ele, e coloco pra fazer o teste "authentication" ele me retorna como OK, e um ponto de EXCLAMACAO, dai digito o DOMINIO + USUARIO + SENHA, ele dá como resultado: SUCCESS Estranho? :(
    terça-feira, 9 de fevereiro de 2010 15:05
  • É estranho. Você quer me adiciona no MSN e me passar acesso a máquina para que veja o que pode ser? Aí depois a gente explica aqui o que era.
    Pablo Weyne - http://www.iishelp.com.br - @pabloweyne
    terça-feira, 9 de fevereiro de 2010 18:12
  • Entao Pablo, infelismente por se tratar de uma Instituicao da area de Saude, nao poderei passar .. maaas, posso te mandar PRINT ou conversar contigo via MSN ...

    msn: mauricio@bluesolutions.com.br
    terça-feira, 9 de fevereiro de 2010 18:27
  • Adicionado!
    Pablo Weyne - http://www.iishelp.com.br - @pabloweyne
    terça-feira, 9 de fevereiro de 2010 20:06
  • Seguinte:

    1) na curiosidade troquei o metodo de autenticacao para: basic authentication , setei o default domain e o realm para o dominio , e fiz o teste. Entrei na pagina, e pediu autenticacao e logo em cima estava escrito o nome do dominio ... blz, digitei e entrou , mas quando tentei acessar sub-links da pagina, deu como "you are not authorized to view this page" ..

    2) quando estava como "windows authentication" ao abrir a pagina pedindo autenticacao, em cima estava escrito o nome da pagina ... isso é normal mesmo ??


    Valeu a todos :)
    quinta-feira, 11 de fevereiro de 2010 18:58
  • Mauricio,

    A configuração que você está certo, mas era para entrar nos sub-links, tem que verificar as permissões do diretório e se esses sub-links estão configurados de outra maneira.
    Pablo Weyne - http://www.iishelp.com.br - @pabloweyne
    quinta-feira, 11 de fevereiro de 2010 20:07
  • Então, ai que tá o "?"
    as sub-pastas recebem herança nas permissoes NTFS, ou quando eu trato elas como ASP.NET é diferente ?!
    Até porque a index é asp e abre normal, e o erro que gera, é nada referido a ASP .. logo, fico mais doido ainda com as permissões, justamente por receberem herança, era para funcionar, certo ?

    E uma coisa estranha, As outras pastas (ex: system32/inetsrv ... iishelp/common) ja dei as permissções corretas de acordo com o KB da Microsoft, poreeeeem, quando eu rodo o Auth Diagnostic ( http://www.microsoft.com/downloads/details.aspx?FamilyID=e90fe777-4a21-4066-bd22-b931f7572e9a&displaylang=en ) , ele me alerta dizendo que, a conta IIS_WPG (isso né?) ela não tem permissões nos arquivos ... maaaas, elas tem !

    sera que é problema de OS ? :|
    quinta-feira, 11 de fevereiro de 2010 23:28
  • Entãão !!
    comecei do zero, numa maquina virtual, como o próprio Pablo disse , e deu certo
    os passos que realizei:
    1) Instalei o IIS
    2) Instalei o Framework via Windows Update
    3) Setei as permissões(Policys tambem) da acordo com um KB da Microsoft, justamente para IIS6
    4) Criei um novo site, utilizando cabeçalhos
    5) Criei uma zona no DNS, com registro do tipo  A
    6) Defini os DOCUMENTS numa ordem especifica
    7) Setei a aplicação para rodar ASP versão 2.0xxx

    Acredito que foram esses passos que fiz, no final das contas, deu tudo certo, sem erro algum ! :)

    Agradeço a todos que me ajudaram !!


    Edit: Deixei como anonimo o acesso, sem usar o Integrated Windows Authentication, pois como não fui eu quem configurei o WEB.CONFIG , não faço idéia por inde começar para integrar o ASP com o IIS nessa parte de autenticação , porem , para quem quer se aventurar: http://msdn.microsoft.com/en-us/library/ms998358.aspx
    • Marcado como Resposta Maurício Costa quinta-feira, 18 de fevereiro de 2010 00:21
    quinta-feira, 18 de fevereiro de 2010 00:03