Конфигуришите Керберос аутентификацију на ИИС сајту

Корак по корак упутства за подешавање транспарентне провере идентитета корисника домена у режиму ССО (Сингле Сигн-Он) помоћу Керберос протокола на ИИС веб локацији на Виндовс Сервер 2012 Р2.

На веб серверу покрените ИИС Манагер конзолу, изаберите жељену локацију и отворите одељак Аутентификација. Као што видите, подразумевано је дозвољена само анонимна аутентификација (Анонимни Аутентификација) Искључите и укључите Виндовс Аутентификација (ИИС прво прво проба анонимну аутентификацију).

Отварамо листу провајдера доступних за проверу идентитета Виндовс (Провајдери) Подразумевано су доступна два провајдера: Преговарајте и НТЛМ. Преговарач је контејнер који користи Керберос као своју прву методу аутентификације; ако ова аутентификација не успе, користи се НТЛМ. Неопходно је да се на листи пружалаца користи метода Преговарајте стајао први.

Следећи корак је регистрација Назив главног сервиса (СПН) евиденција за име веб локације којој ће корисници приступити. Ако би ИИС локација требало да буде доступна само по имену сервера на коме се налази (хттп: // име сервера или хттп://сервер-наме.цонтосо.цом), не морате да креирате додатне СПН записе (СПН записи већ постоји на сервер рачуну у АД-у). Ако користите адресу веб локације која није име хоста или када правите уравнотежену веб фарму, морат ћете да вежете додатне СПН-ове на сервер или кориснички налог.

Претпоставимо да имамо фарму сервера ИИС. У овом случају, оптимално је отворити посебан налог у АД-у и везати СПН записе за њега. Из истог налога покренуће циљни апликацијски фонд наше веб локације.

Креирајте налог за домену иис_услуга. Провјерите да ли овом објекту нису додијељени СПН уноси (атрибут сервицеПринципалНаме је празан).

Претпоставимо да веб локација треба да одговори на адресе _хттп: // вебпортал и _хттп: //вебпортал.цонтосо.лоц. Морамо да региструјемо ове адресе у СПН атрибуту налога услуге.

Сетспн / с ХТТП / вебпортал контосо \ иис_сервице
Сетспн / с ХТТП / вебпортал.цонтосо.лоц цонтосо \ иис_сервице

Стога ћемо овом рачуну омогућити да дешифрује Керберос карте кад корисници приступе овим адресама и потврде сесије.

Можете да проверите СПН подешавања за свој налог на следећи начин:

сетспн / л иис_сервице

Савет. Керберос неће радити исправно ако постоје дупликатни СПН-ови на различитим записима домена. Помоћу следеће наредбе потврдите да нема дупликата СПН-а у домену: сетспн -к

Сљедећи корак је конфигурирање базе података ИИС-а за покретање из креираног сервисног налога.

Изаберите локацију базе података апликација (у нашем примеру је ДефаултАппПоол).

Отворите одељак са подешавањима Напредно Подешавања  и идите на параметар Идентитет.

Промени са АпплицатионПоолИдентити на цонтосо \ иис_сервице.

Затим у конзоли ИИС менаџера идите на своју веб локацију и изаберите одељак Уређивач конфигурација.

У падајућем менију идите на одељак систем.вебСервер> сигурност> аутентификација> виндовсАутхентицатион

Промена усеАппПоолЦредентиалс на Тацно.

Тако ћемо омогућити ИИС-у да користи домене за дешифровање Керберосових карата од клијената.

Поново покрените ИИС са наредбом:

иисресет

Иста конфигурација мора бити изведена на свим серверима веб фарме.

Керберос ауторизацију тестирамо отварајући клијента у прегледачу клијента (прегледач прво мора бити конфигурисан да користи Керберос) _хттп: //вебпортал.цонтосо.лоц

Напомена. У свом примеру, нисам се могао одмах пријавити на ИЕ11. Морао сам да додам адресу поузданима и у подешавањима места поузданог подручја поставим вредност Усер Аутхентицатион -> Логон параметар на Аутоматски пријава са тренутна корисник име и лозинку

Можете проверити да ли се Керберос користи за ауторизацију на веб локацији увидом у ХТТП саобраћај помоћу Фиддлер услужног програма (тај програм смо већ споменули раније).

Покрећемо Фиддлер, у претраживачу отварамо циљано место. У левом прозору налазимо линију приступа сајту. С десне стране идите на картицу Инспектори. Гудачки Чини се да заглавље ауторизације (преговора) садржи карту Керберос, каже да је Керберос протокол коришћен за ауторизацију на ИИС сајту.