Windows-Authentifizierung delegieren mit Kerberos

[Hanzmeierschulz 10]

Hallo alle zusammen,

folgendes Problem besteht:

Rechner 1: Normaler Client (XP/2000) mit IE 6.0 soll sich mit Windows-Authentifizierung an ASP/ASP.NET Seiten anmelden

Rechner 2: Windows Server 2003 EE mit IIS 6.0, Windows-Authentifizierung ist für die jeweilige Web Seite aktiviert, Anonymous und Basic sind aus.

Rechner 3: SQL Server 2000 auf Windows 2000 Server.

Ziel ist das der Nutzer auf Rechner 1 mit seiner Windows-Authentifizierung sich auf Rechner 2 anmeldet (klappt soweit) und seine Authentifizierung wieder weiter an den SQL Server gibt. Alle Rechner sind in der gleichen Domain. Nun habe ich gelesen das die Windows-Authentifizierung über mehrere Rechner nur mit Kerberos geht. Habe auch schon das Internet abgesucht und vieles eingestellt, aber ich komme immer nur bis zum IIS, sobald der Script eine Verbindung aufbauen soll kommt das NT AUTHORITY\ANONYMOUS nicht kennt, da sollte aber die Kennung+Account von Rechner 1 kommen.

So nun meine Frage, kennt jeman ein "Kochrezept", was nach und nach für Schalter in den GPO's (auf Server IIS, auf Server SQL, Domain Controller) und im ActiveDirectory gesetzt werden müssen. Basic-Authentifizierung geht, ist aber nicht erwünscht.

[Hirgelzwift 10]

also ob auf dem IIS anonymous anmeldung zugelassen ist oder nicht wird in den eigenschaften der jeweiligen WEB site konfiguriert. ein IIS kann ja mehrere seiten hosten.

 

IIS konsole öffnen: website -> rechte maus ->eigenschaften -> verzeichnissicherheit -> authentifizierung und zugriffsteuerung -> bearbeiten

 

da kannst du alles festlegen.

[Dirk_privat 10]

Hi,

 

schau mal hier: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/webapp/iis/remstorg.mspx

 

Gruß

Dirk

[Christoph35 10]

Hi,

 

der Webserver muss für die Weiterleitung von Credentials des Users an den SQL-Server konfiguriert werden. Im Computerkonto des Webservers gibts dafür ein Kontrollkästchen "Trusted for delegation" (oder so ähnlich).

 

Für weitere Info, schau mal in diesen Artikel:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerbdel.mspx

 

/edit: by the way: willkommen an Board :)

 

Christoph

[ChristianHemker 10]

Auf deutsch:

Konto zu Delegierungszwecken vertrauen (oder so ähnlich :))

[Christoph35 10]

Danke, ich arbeite fast ausschließlich mit englischen Servern, daher habe ich die dt. Bezeichnungen nicht immer parat ;)

 

Christoph

[ChristianHemker 10]

Für diese Zwecke habe ich meistens noch eine deutsche virtuelle Maschine in der Nähe, arbeite ansonsten auch nur mit englischen Versionen.

Für Kurse braucht man allerdings die deutschen Versionen, gerade wenn man die Prüfung auf deutsch machen möchte kommt es sonst zu Verwirrungen.

[Hanzmeierschulz 10]

Danke für die vielen Antworten, habs nun auch hinbekommen.

Nun ist aber schon das nächste Problem: der IIS von Rechner 2 soll nun auch auf eine Oracle DB zugreifen, auch wieder mit Kerberos (Windows-Authentifizierung), aber hier kommt wieder User und Passwort nicht gefunden. Gibts da noch nen Trick das man den Oracle-Client zur Kerberos Delegierung bringen kann? Ach ja, 10.2. Oracle Client (Runtime-Version, nicht der Instand Client). Fehler tritt sowohl bei ASP mit msdaora bzw. OraOLEDB.Oracle und ASP.NET mit System.Data.OracleClient bzw. Oracle.DataAccess.Client auf.