Ici 10 Geschrieben 31. Juli 2007 Melden Teilen Geschrieben 31. Juli 2007 Hallo Habe leider ein Problem mit Kerberos-Authentifizierung, bei welchem ich nicht weiterkomme. Folgende Umgebung ist vorhanden... Habe einen Sharepoint-Server (Name: Webserver) aufgesetzt, welcher über die Domain https://test.net von intern und extern erreichbar ist. Die Applikation läuft unter dem Benutzer appbenutzer. Vom Internet her greifen die Benutzer auf einen ISA 2006 zu, welchen ich Proxy nenne. Von intern greifen die Benutzer direkt auf den Webserver zu (nicht den Umweg über den Proxy). Nun habe ich einerseits einen SPN für den Benutzer appbenutzer definiert (https/test.net) und andererseits einen SPN für den Proxy (https/test.net:443). Im Active Directory habe ich die Delegierung für den Webserver vorgenommen, damit dieser allen Diensten vertraut. Wenn nun Benutzer von extern über den Proxy auf den Webserver zugreifen, so funktioniert dies mit Kerberos (ist im Eventlog auf dem Webserver ersichtlich). Greife ich aus dem Lan auf den Webserver zu, gelingt dies nicht. Im Eventlog bekomme ich einen Event 529 (Typ 3) mit der Meldung "Unknown user name or bad password". Habe auf dem Client auch bereits Kerbtray installiert und feststellen müssen, dass gar kein Ticket erstellt wird. Kann mir jemand einen Tipp geben, wie ich die Umgebung so einrichten kann, dass von extern, wie auch von intern mittels Kerberos auf die Webapplikation zugegriffen wird? Danke und Gruss Roland Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 31. Juli 2007 Melden Teilen Geschrieben 31. Juli 2007 Wird extern als auch intern der Server mit demselben Namen FQDN angesprochen? Sonst müsste man wahrscheinlich zusätzliche SPN registrieren. BTW: Du machst eine Reverse-Proxy Szenario, bzw. Webserver Veröffentlichung, oder?:suspect: Bin jetzt nicht ganz sicher on Windows Integrierte Authentifizierung und SSL zusammen laufen...:suspect: Zitieren Link zu diesem Kommentar
Ici 10 Geschrieben 2. August 2007 Autor Melden Teilen Geschrieben 2. August 2007 Ja, intern und extern wird der gleiche FQDN und auch das SSL-Zertifikat verwendet. Der ISA wird als Reverse-Proxy eingesetzt. Die Windows Interne Autentifizierung müsste eigentlich mit SSL zusammen funktionieren. Mit NTLM funktioniert es ja einwandfrei. Nur wenn ich auf Kerberos umstelle, funktioniert der Zugriff von intern nicht mehr. Von extern funktioniert er mit Kerberos. Gruss Roland Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 2. August 2007 Melden Teilen Geschrieben 2. August 2007 Den hier hast du dir schon angeschaut? How to configure a Windows SharePoint Services virtual server to use Kerberos authentication and how to switch from Kerberos authentication back to NTLM authentication grizzly999 Zitieren Link zu diesem Kommentar
Ici 10 Geschrieben 2. August 2007 Autor Melden Teilen Geschrieben 2. August 2007 Ja, beim MOSS 2007 ist dies in der Centraladministration konfigurierbar. Der Umweg über die Scripte ist nicht notwendig. Jedoch habe ich die Delegierung für den Benutzer nicht vorgenommen, mit welchem die Applikation läuft. Habe dies nun gemacht, kann es aber noch nicht testen, da ich den Server zur Zeit nicht umkonfigurieren darf. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.