none
Публикация сетевой папки по UNC через WebDAV на IIS 8.5 авторизацией по учетными записями в AD RRS feed

  • Вопрос

  • Имеется WebDAV сервер на IIS 8.5 с подключенной сетевой папкой \\server.domain.local\share в виде приложения с удостоверением пользователя domain\user. У сервера два интерфейса в локальную сеть предприятия и в интернет через роутер и NAT.

    В локальной сети все отлично работает, сетевая папка подключается и как диск через:
    net use y: https://site.domain.local/share /user:domain\user password
    и заходит по ссылке: \\site.domain.local@ssl\share и доступ есть в соответствии с NTFS правами пользователя.

    А вот из интернета:
    net use y: https://site.domain.com/share /user:domain\user password
    Системная ошибка 1920. Доступ к этому файлу из системы отсутствует.
    В логах IIS и трассировке стандартная ошибка: 403.3
    На сервере шары: 
    Новый вход: ИД безопасности: АНОНИМНЫЙ ВХОД
    Имя учетной записи: АНОНИМНЫЙ ВХОД

    SPN прописан для учетной записи сервера WEBSERVER как:
    HTTPS/webserver
    HTTP/webserver
    HTTP/site.domain.com
    CIFS/webserver.domain.local
    HTTPS/webserver.domain.local
    HTTP/webserver.domain.local
    HOST/site.domain.com
    CIFS/site.domain.com
    HTTPS/site.domain.com
    HOST/WEBSERVER
    HOST/WEBSERVER.domain.local

    С несетевыми папками из интернета все Ок. Гугл прочел весь. Где еще покопать?





    22 декабря 2016 г. 12:44

Ответы

  • Я правильно понимаю, что в IIS аутентификация подключения к этой папке ("Connect as") настроено на Application user (passthrough authentication), а не Specific User? В таком случае, проблема, скорее всего, связана с делегированием.

    Посмотрите, как у вас настроено делегирование в свойствах учётной записи сервера IIS (как я понял, она называется WEBSERVER) к службе сервера сети Microsoft на том сервере, на котором находится папка?

    Поскольку вы подключаетесь извне, т.е. используете аутентификацию не по Kerberos, а неким другим способом, то должно быть настроено ограниченное делегирование Kerberos (выбор пункта Trust this computer for delegation to specified services only на вкладке Delegation свойств) в варианте Use any authentication protocol для типа службы cifs на сервере, где находится папка. Возможно (не уверен), что подойдёт и делегирование для типа службы HOST на том же сервере.

    PS В общем случае всё написанное выше относится к варианту, когда пул IIS работает под встроенной учётной записью (а также Network Services, или Local System). В данном случае, судя по настройке SPN, дело обстоит именно так. Если же IIS работает под доменной учётной записью пользователя/MSA/gMSA , то настраивать делегирование надо в свойствах этой учётной записи.


    Слава России!

    • Помечено в качестве ответа Rustavy Zhigulin 22 декабря 2016 г. 16:04
    22 декабря 2016 г. 13:17

Все ответы

  • Я правильно понимаю, что в IIS аутентификация подключения к этой папке ("Connect as") настроено на Application user (passthrough authentication), а не Specific User? В таком случае, проблема, скорее всего, связана с делегированием.

    Посмотрите, как у вас настроено делегирование в свойствах учётной записи сервера IIS (как я понял, она называется WEBSERVER) к службе сервера сети Microsoft на том сервере, на котором находится папка?

    Поскольку вы подключаетесь извне, т.е. используете аутентификацию не по Kerberos, а неким другим способом, то должно быть настроено ограниченное делегирование Kerberos (выбор пункта Trust this computer for delegation to specified services only на вкладке Delegation свойств) в варианте Use any authentication protocol для типа службы cifs на сервере, где находится папка. Возможно (не уверен), что подойдёт и делегирование для типа службы HOST на том же сервере.

    PS В общем случае всё написанное выше относится к варианту, когда пул IIS работает под встроенной учётной записью (а также Network Services, или Local System). В данном случае, судя по настройке SPN, дело обстоит именно так. Если же IIS работает под доменной учётной записью пользователя/MSA/gMSA , то настраивать делегирование надо в свойствах этой учётной записи.


    Слава России!

    • Помечено в качестве ответа Rustavy Zhigulin 22 декабря 2016 г. 16:04
    22 декабря 2016 г. 13:17
  • Разрешить аутентификацию "открытым текстом" (убедившись в отсутствии доступа по http, только https, во избежание).

    S.A.

    22 декабря 2016 г. 15:47
  • Спасибо большое! Переключил с "Trust this computer for delegation to any service" на "Trust this computer for delegation to specified services onlyварианте Use any authentication protocol для типа службы cifs, как вы указали - из интернета заработало.
    22 декабря 2016 г. 16:08