Monday, July 14th, 2008...8:25 pm

Konfiguracja uwierzytelnienie Kerberos … a raczej rozwiązywanie problemów

Jump to Comments

Napisałem dzisiaj komentarz do wpisu na W-Files. Napisałem, wysłałem … i nic. Jako że zgromadziłem w nim kilka linków to trochę mi szkoda tej pracy, więc postanowiłem zgromadzić je ponownie, tym razem tutaj. Kolekcja linków będzie dotyczyć konfiguracji jak i rozwiązywania problemów z uwierzytelnieniem w aplikacjach WWW w oparciu o Kerberos. Rzecz niby prosta, a prawie zawsze powoduje problemy. Temat jest opisany na sieci, więc teraz tylko to polinkujmy.

Zacznijmy od początku, czyli co to jest delegacja Kerberos i do czego służy. Warto przeczytać zanim zaczniemy konfigurować to dla aplikacji, na przykład ASP .NET. A ten artykuł z MSDN przyda się developerom. Tutaj uwaga dla wszystkich developerów i administratorów – nie ma żadnego powodu, dla którego aplikacja ma działać w kontekście konta komputera. Zawsze używajcie dedykowanego konta dla puli IIS, a już w szczególności wtedy gdy to jest aplikacja, utrzymywana na więcej niż jednym serwerze.

Dla zrozumienia całości przydaje się jeszcze zapoznać z tymi artykułami:

A jak już dochodzi do konfiguracji …

… do ustawienia SPN dla odpowiedniego konta używamy SETSPN.EXE (w support tools), ale jako że SPN to po prostu atrybut wielowartościowy to można to zrobić dowolnym narzędziem do edycji LDAP.

… teraz jeżeli mamy problemy. Na W-Files wskazano narzędzie DelegConfig, ja ze swojej strony polecam do diagnostyki AuthDiag. Zawsze polecam je jako pierwsze i pomaga w diagnozie w 90% przypadków. A jeżeli już trzeba rozwiązać jakiś problem, to polecam tą serię artykułów:

Jeżeli to nie pomoże to już czas zawołać kawalerię. Może się zdarzyć, że kwaleria przeczytała ten artykuł, a jeżeli udało jej się to zrobić ze zrozumieniem, to istnieje duże prawdopodobieństwo że i ten problem rozwiąże.

Się nalinkowałem …

1 Comment

Leave a Reply