none
Барахлит Negotiate RRS feed

  • Вопрос

  • Веб-сервер предлагает три способа авторизации:

    Server: Microsoft-IIS/6.0
    WWW-Authenticate: Negotiate
    WWW-Authenticate: NTLM
    WWW-Authenticate: Digest qop="auth",algorithm=MD5-sess,nonce=...
    MicrosoftSharePointTeamServices: 12.0.0.4518

    Так вот, у некоторых пользователей на некоторых машинах, если браузер выбирает Negotiate, на сайт невозможно зайти. MSIE долго думает и в конце концов выдает страницу с сообщением о невозможности соединиться с сервером. В tcpdump при этом пролетает только один "GET / HTTP/1.1" запрос на сайт и ответ "HTTP/1.1 401 Unauthorized" с предложением трех методов на выбор, после чего молчание.

    Если отключить сабж
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "EnableNegotiate"=dword:00000000
    то начинает использоваться метод NTLM и всё чудно работает, заходит на портал и т.д.

    Т.е. можно предположить, что проблема с SSPI. Но проявляется не у всех пользователей домена, а у кого проявляется - то только на некоторых машинах, а на других нормально работает и с Negotiate. Изучение списка тикетов показало, что у пользователя с проблемой и пользователя без проблемы набор тикетов разный, но я слишком плохо знаю MS Kerberos, чтобы сделать из этого факта какие-то выводы.

    Можно ли починить, или просто отключить у всех проблемных пользователей Negotiate и не париться? Заранее спасибо за советы.


    PGP Key: http://www.livejournal.com/pubkey.bml?user=victor_sudakov
    30 августа 2011 г. 4:08