Windows 인증을 사용하는 여러 IIS 호스팅 사이트가 있습니다. 일부 사용자는 사이트 중 하나에 로그인할 수 있지만 다른 사이트에서는 끝없는 인증 요청을 받습니다(두 번째 사이트는 첫 번째 iframe에서 사용됩니다). 로그온할 수 없는 사용자는 Kerberos 인증(기타 NTLM)을 사용하고 있는 것으로 나타났습니다. 모든 사이트는 동일한 인증 설정을 사용하고 있습니다(useAppPoolCredentials가 true로 설정됨). 따라서 사용자는 한 사이트에 액세스할 수 있지만 동일한 설정으로 두 번째 사이트에는 액세스할 수 없습니다. 앱 풀 ID 사용자는 관리자 그룹 및 IIS_IUSRS 그룹에 있습니다. 또한 도메인 사용자 계정을 사용하여 VM에서 사이트에 로그온하려고 시도했지만 Kerberos 때문에 동일한 끝없는 인증 프롬프트가 표시되었습니다. IIS 인증에 관한 Chiranth Ramaswamy의 기사를 읽었지만 불행하게도 문제에 대한 해결책을 찾을 수 없습니다. 문제를 해결할 수 있는 방법이 있나요?
편집: 동일한 사이트와 설정을 가진 두 번째 서버도 있습니다.
EDIT2: 동일한 도메인 사용자 계정을 사용하면 로그온할 수 있다는 것을 알았습니다.~하지 않다로그인에 도메인을 쓰세요. 따라서 "UserName"은 작동하지만 "DomainName\UserName"은 작동하지 않습니다.
답변1
거기에서 문제를 해결하는 데 약간의 도움이 될 것이며 Curb 설정 방법, 다른 사이트, 사용 중인 URL을 포함하여 더 자세한 내용이 도움이 될 것입니다.
간단히 말해서, Kerb가 고장난 것 같아요. 그리고 이를 작동시키려면 이름 대신 IP 주소를 사용할 수도 있습니다. (Kerb는 IP 주소가 아닌 이름을 사용하는 경우에만 작동합니다.)
앱 풀 계정(그런데 관리자 권한이 거의 없어야 함)의 맥락에서 티켓을 디코딩하지 않는 것 같습니다.
이는 SPN이 중복되었거나 Curb의 다른 측면이 손상되었기 때문일 수 있습니다.
PAC 스크립트 및/또는 영역 설정 대신 "통합 Windows 인증 사용"과 같은 클라이언트 측 브라우저 설정일 수도 있습니다.
그래서! 쇼핑리스트:
IE를 사용하는 경우 사이트가 로드되는 영역을 확인하세요.
IE를 사용하는 경우 Windows 통합 활성화 설정을 확인하세요.
손상된 클라이언트(또는 최소한
klist purge)를 재부팅한 다음 클라이언트 측에서 실패한 연결에 대한 netmon 또는 Wireshark 추적을 가져옵니다. 이는 일부 KDC 응답 문제를 식별할 수 있습니다. 즉, Curb를 깨뜨릴 수 있는 것에 대한 단서를 제공하는 Kerberos 오류가 반환됩니다.useAppPoolCredentials를 사용하는 경우 SetSPN을 사용했을 가능성이 높습니다. 사이트 이름과 관련된 모든 SPN이 중복되는지 확인하세요.
마지막으로 위임을 사용하지 않는 경우에는 어쨌든 useAppPoolCredentials를 제거하는 것이 좋습니다. 기본적으로 SPN 재정의가 없는 경우 시스템 계정은 모든 앱 풀에 대한 티켓을 디코딩합니다.
답변2
서버를 재부팅한 후 useApplicationCredentials가 다시 false로 반환되었음을 확인했습니다. 이를 true로 변경하고 IIS를 다시 시작했습니다. 그 이후에는 문제가 발생하지 않습니다. 하지만 우연이 아닐지 모르겠습니다. 다른 서버에서도 같은 문제가 발생했습니다. 동일한 IIS 설정을 가진 4대의 컴퓨터. 2개는 Kerberos를 통해 올바르게 작동하지 않지만 2개는 작동합니다. 이들 중 어떤 것에도 SPN이 구성되지 않았습니다. 또한 작동하는 두 가지 항목은 useApplicationCredentials에 false가 있습니다.
동일한 방법으로 재부팅하여 useApplicationCredentials를 true로 설정하고 그렇지 않은 경우 iisreset을 시도하겠습니다. 그러나 나는 이것이 문제가 되지 않는다고 확신한다. SPN이 설정되지 않은 경우 Kerberos가 작동하는 이유를 이해할 수 없습니다.