【问题标题】:Kerberos double hop issue with ASP.NET web application to sharepointASP.NET Web 应用程序到共享点的 Kerberos 双跃点问题
【发布时间】:2016-07-29 19:41:12
【问题描述】:

我需要您的帮助来解决我遇到的 Kerberos 双跳问题...在阅读了许多关于该主题的在线帖子后,我仍然无法理解我的设置有什么问题。这是我使用的设置:

  • 客户端电脑
  • 托管简单 ASMX Web 服务的 Web 服务器
  • 托管 SharePoint 2013 的 Web 服务器

see diagram

所有服务器都受委派信任,每个人都在同一个域中(没有林),并且不使用负载平衡。每个 Web 服务器都使用 IIS 7.5,每个应用程序池都设置有域服务帐户。每个服务帐户都受信任以进行委派。 重要提示:两个 Web 服务都通过 DNS 条目(HOST 记录)访问:

我还在 Web 服务器(服务器 1)上设置 IIS 以使用应用程序池凭据“useAppPoolCredentials=True”并保持内核开启。

到目前为止,我设置了以下 SPN:

  • 服务器 1:主机/服务器 1;主机/Server1.domain.com; HTTP/我的网络服务; HTTP/mywebservice.domain.com
  • 服务器 2:主机/服务器 2; HOST/Server2.domain.com
  • 服务1:
  • 服务2:

到目前为止,我已经尝试了各种 SPN 之间的许多排列,但都没有运气:(

目前,我可以使用 Kerberos 连接到 Web 服务 (Server1),但随后“NT AUTHORITY\ANONYMOUS LOGON”被传递到 Sharepoint 服务器。

谁能帮我弄清楚正确的设置是什么?

感谢您的帮助。

【问题讨论】:

    标签: asp.net web-services iis-7.5 sharepoint-2013 kerberos-delegation


    【解决方案1】:

    我终于设法让它工作了。为此,我使用了 DelegConfig Web 应用程序(by brian-murphy-booth)available here。它确认我的设置最初不正确并帮助我确定需要更改的内容。

    这是我的最终设置 - see diagram:

    • Web 服务服务器:仅限 HOTS/Server1 的 SPN + Kerberos 委派受信任
    • Sharepoint 服务器:仅适用于 HOST/Server2 的 SPN + 受信任的 Kerberos 委派
    • 服务帐户 1(用于 Web 服务应用程序池):为 HTTP/mywebservice 添加了 SPN
    • 服务帐户 2(用于 sharepoint 应用程序池):为 HTTP/sharepoint 添加了 SPN

    这里有几件事需要注意:

    1. 如果您使用 DNS 条目,请根据 DNS 名称而非 IP 注册 SPN
    2. 确保您的 DNS 条目是“HOST (A)”类型的记录,而不是“CNAME”类型的记录
    3. 始终根据简单名称(即 HTTP/sharepoint)和 FQDN(即 HTTP/sharepoint.domain.com)注册 SPN
    4. 留出一些时间将 AD 更改复制到所有域控制器(如果适用) - 那是我的失败!更改后我测试得太快了,但它从来没有奏效...更改后等待 15-20 分钟有助于我微调设置并准确了解问题所在
    5. 确保您没有重复的 SPN!要检查,请打开命令提示符并运行命令“setspn -x”。它将列出您 AD 中所有重复的 SPN。

    我知道有很多关于这个主题的帖子,但没有一篇实际上在一张图中描述了给定配置的理想设置。所以我想我会把这个答案发布到我自己的问题上;希望它能帮助解决 Kerberos 双跳问题的噩梦。

    非常感谢 brian-murphy-booth 提供的出色工具!如果你读到这里,你就是我的救星!

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-06-28
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多