eid*_*lon 3 sql-server asp.net kerberos windows-authentication integrated-security
请问,有人可以提供一个简单,直接的方式来启用ASP.NET> Kerberos> Sql Server吗?
我们有clientMachine> webServer> databaseServer.客户端坚持认为该站点必须提取Windows登录而不提示,因此需要Kerberos和集成身份验证.它还必须模拟用户进入数据库服务器,从而产生双跳.
我们的域名是Windows 2003域名,据我所知,这意味着Kerberos已启用.在加入域的计算机上,当登录时,kerbtray告诉我我有一大堆门票,所以它显然正在工作.
AD中的Web和数据库服务器计算机帐户都"受信任以进行委派".
必须访问系统的AD用户帐户都"被委托信任".
当它全部工作时,我会添加更多用户,现在两个就是它.
Sql Server实例在数据库服务器上的LocalSystem下运行,尽管我可以在线告诉它,但这意味着它根本不需要弄乱那些SPN的东西.
然而,当我尝试使用任一用户登录时,我得到了
Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.
表示双跳失败.在数据库服务器上的应用程序日志中,有一些来自"MSSQL"的条目说同样的事情,这进一步推动了这一点.
我真的不敢相信这有多难......我的意思是,IIS,SQL和Windows都是微软,他们不能说得更好吗???
总而言之,我有
下载Kerberos授权疑难解答.它是一个救生员.
在第17页,您将找到Active Directory清单.按照核对表一步一步.
在第30页,您将找到客户端应用程序清单.逐步验证核对表.
第35页是中间层核对表.逐步验证它.
第48页是后端核对表.逐步验证它.
如果仍有问题,该文档包含故障排除工具的详细列表(kerbtray,klist,ldifde等),详细说明如何在系统事件日志中启用日志记录和审计身份验证错误,详细解释所有错误代码.来自身份验证审核的事件日志条目,依此类推.
一旦弄清楚出了什么问题,修复起来会容易得多.
答案最终DID在于SPN.
此系统是在我们的测试站点上设置的,即test.ourcompany.com,因此我需要为该参考添加新的SPN.所以除了以下内容:
HTTP/server
HTTP/server.ourdomain.com
我还需要添加一个:
HTTP/test.ourcompany.com
吉兹,真是一场战斗!至少它结束了!:)
谢谢你们的帮助!
| 归档时间: |
|
| 查看次数: |
4977 次 |
| 最近记录: |