Kerberos を使用したテスト環境で IIS 7.0 Web サイトを構成する際に問題が発生しています。AD DS、AD RMS、DHCP、DNS、IIS の役割がインストールされた Windows Server 2008 R2 の試用版を使用しています。サイトの IIS セキュリティ設定にアクセスし、Kerberos ログインを許可するように Windows 認証を設定しました。
私が遭遇している問題は、セキュリティ プロトコルとして Kerberos が定期的に使用されていないことです。IIS でプロバイダーを「Negotiate」に設定すると、Fiddler2 は、ヘッダーが 50% の確率で NTLM ヘッダーを返し、残りの 50% の確率で Kerberos ヘッダーを返すことを示します。IIS でプロバイダーを「Negotiate:Kerberos」に設定すると、すぐに 401 エラーが報告されるため、サイトにまったくアクセスできません。さらに、Linux マシンを使用してどちらの構成でもサイトに接続しようとすると、すぐに 401 セキュリティ エラーが示されます。
これを構成する方法について、何か情報やガイドを提供していただけませんか? 特に、接続先のマシンに関係なく、Kerberos を有効にするだけでなく、NTLM へのフォールバックもブロックする必要があります。これまでのところ、この問題に完全に対処する Technet または ServerFault の記事は見つかりませんでした。
答え1
Firefoxではabout:configでKerberosを使用するように設定する必要があります。ネットワークネゴシエート認証信頼された URIそしてネットワーク.ネゴシエート-認証.委任-URI。
Chrome/chromiumの場合はchromium-browser –auth-server-whitelist=”company.com”
答え2
Linux サービス/アプリケーションを IIS サービス エンドポイントに認証するように設定する場合は、次のようにして Linux ボックスを IIS がホストする Windows サイトに認証させることができます。
- IISサイトのWindows認証を確実にするプロバイダーWindows Auth の場合は次の順序で設定されます。
- NTLM
- 交渉する
- 認証するアカウントのプリンシパルを作成します。
- Kerberos ツールを使用してドメイン内の Windows サーバーにログインします (通常は AD サーバー)
- サービスプリンシパル名を登録する(SPN)認証するアカウントに対して実行し、同時に Kerberos キータブ ファイルを生成します。
- 使用ktpassLinux用のキータブを生成する
ktpass -princ HTTP/[email protected] -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytab- 注意:URLが
myiis.site.comアクセスするエンドポイントと一致していることが重要ですSITE.COM。ドメインコンポーネント。
- SPNは以下で確認できます。
setspn -L myuser - この時点で、AD ユーザーにマップされた SPN と、Negotiate プロバイダーを使用した認証用に KDC (AD サーバー) によって発行された Kerberos チケットを取得するための Linux 用の Kerberos キータブ ファイルが作成されます。
- Kerberos の種類に応じて、キータブを Linux ボックス/アプリケーションにインポートします。キータブの資格情報を表示するには:
- マサチューセッツ工科大学ケルベロス
klist -c -k user.keytab
- ヘイムダルKerberos(キータブを
/etc/heimdal/krb5.keytabktutil list
- マサチューセッツ工科大学ケルベロス