Lépésről lépésre a tartományi felhasználók átlátható hitelesítésének beállításához SSO (egyszeri bejelentkezés) módban, a Kerberos protokoll használatával, a Windows Server 2012 R2 IIS webhelyén.
Indítsa el az IIS Manager konzolt a webkiszolgálón, válassza ki a kívánt webhelyet, és nyissa meg a részt hitelesítés. Mint láthatja, alapértelmezés szerint csak anonim hitelesítés engedélyezett (névtelen hitelesítés). Kapcsolja ki, majd be A windows hitelesítés (Az IIS mindig először anonim hitelesítést próbál meg).
Megnyitjuk a Windows hitelesítéshez elérhető szolgáltatók listáját (szolgáltatók). Alapértelmezés szerint két szolgáltató érhető el: tárgyal és NTLM. A Negotiate egy olyan tároló, amely Kerberos-t használja az első hitelesítési módszerként; ha ez a hitelesítés sikertelen, NTLM-et használ. Szükséges, hogy a szolgáltatók listáján a módszer legyen tárgyal előbb állt.
A következő lépés a regisztráció Szolgáltatás megnevezése (SPN) rögzíti annak a webhelynek a nevét, amelyhez a felhasználók hozzáférnek. Ha az IIS webhelyhez csak annak a kiszolgálónak a hozzáférésével lehet hozzáférni, amelyen található (http: // szervernév vagy http://server-name.contoso.com), akkor nem kell létrehoznia további SPN-rekordokat (SPN-rekordok) már létezik az AD kiszolgálói fiókban). Ha nem a gazdagép nevét használja, vagy egy kiegyensúlyozott webes farm létrehozásakor további SPN-ket kell kötnie a kiszolgálóhoz vagy a felhasználói fiókhoz.
Tegyük fel, hogy van IIS szerverfarmunk. Ebben az esetben optimális egy külön fiók létrehozása az AD-ben, és az SPN-rekordok hozzárendelése. Ugyanazon fiók alatt elindítják webhelyünk célzott alkalmazáskészletét.
Hozzon létre egy domain fiókot iis_szolgáltatás. Győződjön meg arról, hogy az SPN-bejegyzések nem vannak hozzárendelve ehhez az objektumhoz (servicePrincipalName attribútum üres).
Tegyük fel, hogy a webhelynek válaszolnia kell a _http: // webportal és _http: //webportal.contoso.loc címekre. Ezeket a címeket regisztrálnunk kell a szolgáltatási fiók SPN attribútumában.
Settspn / s HTTP / webportal contoso \ iis_serviceSetspn / s HTTP / webportal.contoso.loc contoso \ iis_service
Ezért engedélyezzük ennek a fióknak a Kerberos jegyek visszafejtését, amikor a felhasználók elérik ezeket a címeket és hitelesítik a munkameneteket.
A következőképpen ellenőrizheti a fiók SPN-beállításait:
setspn / l iis_service
setspn -xA következő lépés az IIS alkalmazáskészlet konfigurálása úgy, hogy a létrehozott szolgáltatási fiók alatt futhasson.
Válassza ki az Alkalmazáskészlet webhelyet (példánkban ez a DefaultAppPool).
Nyissa meg a beállítások részt fejlett Beállítások és lépjen a paraméterhez azonosság.
Cserélje le ApplicationPoolIdentity tovább contoso \ iis_service.
Ezután az IIS Manager konzolon lépjen a webhelyére, és válassza ki a részt Konfigurációs szerkesztő.
A legördülő menüben ugorjon a szakaszra system.webServer> biztonság> hitelesítés> windowsAuthentication
változás useAppPoolCredentials tovább igaz.
Így lehetővé tesszük az IIS számára, hogy domain fiókokat használjon a Kerberos jegyek visszafejtésére az ügyfelektől.
Indítsa újra az IIS-t a következő paranccsal:
iisreset
Ugyanazt a konfigurációt kell végrehajtani az összes web farm-kiszolgálón.
A Kerberos jogosultságát az ügyfél címének az ügyfél böngészőjében történő megnyitásával teszteljük (a böngészőt előbb úgy kell beállítani, hogy a Kerberos használható legyen) _http: //webportal.contoso.loc
megjegyzés. A példámban nem tudtam azonnal bejelentkezni az IE11-en. A címet hozzá kellett adnom a megbízhatóhoz, és a Megbízható zónák oldalai beállításban a Felhasználó hitelesítés -> Bejelentkezés bejelentkezési paraméter értékét automatikus bejelentkezési a jelenlegi használó név és jelszó
Ellenőrizheti, hogy a Kerberos felhasználásra került-e a webhelyen, ha megvizsgálja a HTTP forgalmat a Fiddler segédprogrammal (ezt a segédprogramot már említettük).
Elindítjuk a Fiddler programot, a böngészőben megnyitjuk a céloldalt. A bal oldali ablakban megtaláljuk a webhelyhez való hozzáférés sorát. A jobb oldalon lépjen az Felügyelők fülre. sor Úgy tűnik, hogy az engedélyezési fejléc (Tárgyalás) tartalmaz Kerberos jegyet, szerint a Kerberos protokollt engedélyezték az IIS oldalon.
