none
Внешняя авторизация на IIS сервере с помощью AD по типу OWA RRS feed

  • Вопрос

  • Есть собственное приложение которое запущено на IIS 7.0.
    В локальной сети, с компьютеров в домене аутентификация на IIS проходит, всё работает.
    Как сделать, чтобы можно было использовать ЛЮБОЙ браузер и любую ОС для доступа у приложению.
    Конечное решение видится наподобие чего то, вроде MS Exchange OWA.
    Что получилось:
    И Basic и IWA авторизация на IIS проходит, если на самом сервере, где развёрнут IIS, есть соответствующая локальная учётная запись. Но локальная уч. запись не имеет никаких прав на доступ к доменным ресурсам.
    Что НЕ получается:
    Ни basic, ни IWA авторизация не проходят от имени доменной уч. записи.

    Подскажите ссылку на любом языке, где можно было бы узнать как настроить внешнюю авторизацию на IIS с помощью AD.

    22 октября 2009 г. 13:29

Ответы

  • IIS в домене, конечно.
    Но дело не в этом. Проблему я похоже нашёл. Щас ещё пару тестов замутю.
    Вы будете смеяться, но DOMAIN\Administrator получает доступ к доменным ресурсам.
    И вообще любой левый новосозданный LOGIN получает доступ согласно его правам в домене.
    Из линукса, из венды в другом домене, из венды вообще в рабочей группе.
    И только учётной записи, от имени которой я тестировал доступ к приложению было отказано в авторизации.
    И дело, похоже, в галочке "требовать смарткарту для авторизации".
    Правда убрав галочку, эту учётку по прежнему не пускают, но самое главное я понял, что проблема именно в этом логине, а не в IIS'е, не в домене и не в делегировании.
    Теперь пытаюсь понять, чем отличается эта уч. запись от всех остальных.
    В принципе, тему можно закрывать, но если есть мысли почему снятие крыжика про смарт карту не приводит к успешной авторизации. С удовольствием выслушаю. Спасибо.
    Можа контроллер домена перезагрузить? Все пять... Бугагашечка.... (-:
    • Предложено в качестве ответа Dmitry PonomarevEditor 25 октября 2009 г. 15:50
    • Помечено в качестве ответа Nikita Panov 27 октября 2009 г. 15:45
    25 октября 2009 г. 11:21

Все ответы

  • через ISA сервер можно сделать
    22 октября 2009 г. 15:52
  • вариант авторизации по сертификатам вы рассматривали?
    blog.wadmin.ru
    23 октября 2009 г. 11:55
  • Сертификаты - тема отдельная и не простая, иса сервер есть не у всех.

    Вы говорите о доступности вашего приложения извне?
    OWA поддерживает FBA, basic, intergated и сертификаты.

    basic, intergated делает ИИС, FBA - делает само приложение.

    ваш сервер включен в домен?
    23 октября 2009 г. 12:28
  • IIS в домене, конечно.
    Но дело не в этом. Проблему я похоже нашёл. Щас ещё пару тестов замутю.
    Вы будете смеяться, но DOMAIN\Administrator получает доступ к доменным ресурсам.
    И вообще любой левый новосозданный LOGIN получает доступ согласно его правам в домене.
    Из линукса, из венды в другом домене, из венды вообще в рабочей группе.
    И только учётной записи, от имени которой я тестировал доступ к приложению было отказано в авторизации.
    И дело, похоже, в галочке "требовать смарткарту для авторизации".
    Правда убрав галочку, эту учётку по прежнему не пускают, но самое главное я понял, что проблема именно в этом логине, а не в IIS'е, не в домене и не в делегировании.
    Теперь пытаюсь понять, чем отличается эта уч. запись от всех остальных.
    В принципе, тему можно закрывать, но если есть мысли почему снятие крыжика про смарт карту не приводит к успешной авторизации. С удовольствием выслушаю. Спасибо.
    Можа контроллер домена перезагрузить? Все пять... Бугагашечка.... (-:
    • Предложено в качестве ответа Dmitry PonomarevEditor 25 октября 2009 г. 15:50
    • Помечено в качестве ответа Nikita Panov 27 октября 2009 г. 15:45
    25 октября 2009 г. 11:21