Jump to content

Probleme mit integerierter Windows-Authentifizierung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

in unserem FirmenNetzwerk steht ein Server (Windows Server 2003) mit IIS6 der auf Port 80 lauscht - integrierte Windows-Authentifizierung ist aktiviert. Ruft ein Nutzer das Intranet auf, geht der erste Request an diesen IIS, der versucht ihn zu identifizieren. Wenn das klappt schaut die default.aspx im LDAP nach diesen Nutzer(speziell seiner Org-Einheit) und erzeugt einen Frame der auf ein spezifisches Projekt auf einem Tomcat-Server weiterleitet. Dies funktioniert bei ueber 99% der Nutzer - ein paar koennen jedoch nicht authentifiziert werden - diese erhalten eine 401.1 Fehlermeldung - auch nach der richtigen Eingabe der Windows-Anmeldung in der Eingabeaufforderung des IIS.

Als Workaround habe ich die Adresse für den Tomcat-Frame für diese speziellen Nutzer selber erstellt, und es sie ausprobieren lassen. Jedoch konnten Sie auch nicht am Tomcat authentifiziert werden (der Tomcat hat ebenfalls ein Modul mit dem er im LDAP nach dem Nutzer schauen kann). Im Log des Tomcats konnte ich aber festellen, dass die betroffenen Nutzer ihre Anmeldedaten 'anders' senden

 

als Beispiel 2 Logeinträge des tomcat:

2006-05-12; 07:11:48.447; (W); User $username@$domain on \$computername is authenticate with NTLM RdAuthWeblet;

Dieser Nutzer kann in kommunikation mit dem LDAP nicht gefunden werden

 

2006-05-12; 10:18:50.980; (W); User $username on $domain\$computername is authenticate with NTLM RdAuthWeblet;

Dieser Nutzer wird ohne Probleme im LDAP gefunden

 

Wie kann es also sein dass Nutzer in einer Windows-Domain ihre Anmeldung in 2 verschiedenen Formaten uebergeben??

 

...

 

ich hatte das gestern schon im usenet gepostet - haenge es vorsichtshalber mal mit ran

über eine Lösung wäre ich hocherfreut!

 

mfg

 

##################################

 

Hello,

 

we have an IIS6 running in our lan, which has integrated windows

authentification turned on. After a request by an employee the server

tries to identify the user and get information about him from LDAP.

Depending on the value of organisation from LDAP the IIS renders a

frame with a redirect to a specific project on a Tomcat-Server. This

Server delivers a personalized intranet for about 3000-4000 employees.

Now there are some users which can not be identified. They type in

their windows-account-information but keep getting an 401.1. I looked

into their LDAP-profiles and everything seems to be ok. So i looked for

their organisation and produced their link for the tomcat, send the

link to the affected users and they tried ...

the tomcat has a module which looks for the users in LDAP, to get

information about them and personalize their view on the intranet.

Exactly the group of users which can't be identified by the IIS also

can't be identified by the tomcat. So i looked into the log and i saw

one difference to users which can be identified - the syntax the client

sends it's account with.

 

working: user on domain/computername

not working: user@domain on computername

 

so when the user sends it's account information like 'me@company on

my_pc' he won't be identified, with the syntax like 'me on

domain/computername' the authentification is successful.

 

so my question: how can it be that a user sends his account-information

with that 'wrong' syntax

 

we also checked out the traceroute - no proxy or firewall between the

user and the IIS

Link zu diesem Kommentar

das BS ist ein Standard-Client der auf allen Rechnern installiert ist, der Browser ist logischerweise IE 6, die Internet-Optionen wurden mehrfach geprueft - Zieladresse ist in Lokaler Intranetzone - Sicherheitseinstellungen: automatische Anmeldung mit aktuellen Benutzernamen und Passwort; Proxy wird für Lan umgangen ...

hab ich vergessen: es sind hauptsächlich Nutzer an Notebooks, die die Probleme haben

Link zu diesem Kommentar

ich habe mich testweise auch schonmal mit dem syntax user@domain / pwd angemeldet - die Authentifizierung klappte aber - ich kam als user on domain\computername an

bei dieser Art der Anmeldung wird das Domänenfeld ausgegraut - und - was mich wunderte - nachdem ich mich abgemeldet habe war im Anmeldedialog bei Domäne 'Dieser Computer' ausgegraut ausgewählt ...

 

das ist echt heftig - wir bringen ein personalisiertes Intranet für 3000-4000 Nutzer zum laufen - und es laeuft schoen cremig! - und dann hapert es an paar einzelnen Nutzern - ärgerlich!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...