Kerberos를 사용하는 테스트 환경에서 IIS 7.0 웹 사이트를 구성하는 데 문제가 발생했습니다. AD DS, AD RMS, DHCP, DNS 및 IIS 역할이 설치된 Windows Server 2008 R2 평가판이 있습니다. 사이트의 IIS 보안 설정으로 이동하여 Kerberos 로그인을 허용하도록 Windows 인증을 설정했습니다.
내가 겪고 있는 문제는 보안 프로토콜에 Kerberos를 일상적으로 사용하지 않는다는 것입니다. IIS에서 공급자를 "협상"으로 설정하면 Fiddler2는 헤더가 50%의 시간 동안 NTLM 헤더를 반환하고 나머지 50%의 시간 동안 Kerberos 헤더를 반환한다는 것을 나타냅니다. 대신 IIS에서 공급자를 "Negotiate:Kerberos"로 설정하면 즉시 401 오류가 보고되므로 사이트에 전혀 액세스할 수 없습니다. 또한 Linux 시스템을 사용하여 두 구성 모두에서 사이트에 연결하려고 시도하면 즉시 401 보안 오류가 발생합니다.
누구든지 이것을 구성하는 방법에 대한 통찰력이나 가이드를 제공해 주실 수 있습니까? 특히 연결하는 시스템에 관계없이 Kerberos를 활성화하는 것 외에도 NTLM에 대한 대체를 차단해야 합니다. 지금까지 이 문제를 완전히 해결하는 technet 또는 serverfault 기사를 찾지 못했습니다.
답변1
Firefox에서는 about:config에서 Kerberos를 사용하도록 설정해야 합니다.network.negotiate-auth.trusted-uris그리고network.negotiate-auth.delegation-uris.
Chrome/chromium의 경우 시도해 보세요.크롬 브라우저 –auth-server-whitelist=”company.com”
답변2
IIS 서비스 끝점에 인증하기 위해 Linux 서비스/응용 프로그램을 설정하려는 경우 다음과 같이 Linux 상자가 IIS 호스팅 Windows 사이트에 인증하도록 할 수 있습니다.
- IIS 사이트의 Windows 인증을 확인하세요.공급자Windows 인증의 경우 다음 순서로 설정됩니다.
- NTLM
- 협상하다
- 인증하려는 계정에 대한 주체를 만듭니다.
- Kerberos 도구(일반적으로 AD 서버)를 사용하여 도메인의 Windows 서버에 로그인합니다.
- 서비스 주체 이름 등록(SPN)인증하려는 계정에 대해 동시에 Kerberos keytab 파일을 생성합니다.
- 사용ktpassLinux용 키탭을 생성하려면
ktpass -princ HTTP/[email protected] -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytabmyiis.site.com참고: URL이 도달할 엔드포인트와 일치하는 것이 중요합니다 . 그리고 그것은SITE.COM당신과 일치합니다도메인 구성 요소.
- 다음을 통해 SPN을 확인할 수 있습니다.
setspn -L myuser - 이제 SPN이 AD 사용자에 매핑되었습니다. Negotiate 공급자를 사용한 인증을 위해 KDC(AD 서버)에서 발급한 Kerberos 티켓을 가져오기 위한 Linux용 Kerberos keytab 파일입니다.
- Kerberos의 특성에 따라 키탭을 Linux 상자/응용 프로그램으로 가져옵니다. keytab에서 자격 증명을 보려면 다음을 수행하십시오.