Проблемы аутентификации с помощью NTLM, SSL и SharePoint
Не много для добавления к превосходным ответам выше, но если возможный я добавил бы вторую серверную для резервного копирования/дублирования.
Если это достаточно далеко, или защитило достаточно из другой серверной, затем Вы получаете большую степень защиты против менее серьезных аварий, которые могут произойти - огонь сервера, вызывающий целый отказ стойки, например.
Естественно, это не заменяет план полноценного аварийного восстановления или соответствующие резервные копии - но действительно обеспечивает дешевый второй слой защиты при необходимости.
Было бы хорошо проверить файлы журнала IIS, видеть, существует ли шаблон - определенные ресурсы, получающие 401 с или если это универсально.
Обычной проблемой являются определенные ресурсы, могла быть в сервере (файловая система) папка, и они не могут быть доступны для всех пользователей. Эти ресурсы могли быть связаны от одних только определенных страниц, таким образом, ошибки могут быть случайными. Помните запросы выполнений SharePoint в явленном олицетворением контексте по умолчанию.
Существует много случаев, где автор NTLM полит из шланга через прокси - хотя я надеялся бы, что большинству прокси исправили то поведение к настоящему времени.
Я проверил бы для обращений на тот сайт WSS, установка как надежный сайт / интранет, и настройки браузера таковы, что учетные данные аутентификации автоматически передаются. Вероятно, помогло бы, было ли это на самом деле на домене, но это походит дело не в этом.
Вы могли всегда отступать к основному автору, но, несомненно, могли бы использовать SSL, если Вы идете тем путем.
Вот вещь. Sharepoint использует олицетворение. Это означает, что Вы не должны использовать NTLM вообще - необходимо использовать Kerberos. Это - очень большое различие. NTLM не означает "Интегрированную аутентификацию Windows".
Таким образом, вот то, что необходимо сделать. Перейдите к серверу Sharepoint в соответствии с Журналом событий безопасности. Там, необходимо видеть, что все пользователи аутентифицируются с помощью "Kerberos", не "NTLMSSP". Если Вы видите, что людям предоставляют доступ с помощью NTLM, который, вероятно, означает (я сказал бы, что 80% времени), что необходимо определить Сервисное Название Принципала Sharepoint. При выполнении sharepoint сайта под псевдонимом необходимо будет определить Сервисное Имя Принципала для того псевдонима также, потому что IE7 имеет ошибку в нем, где он запрашивает билеты для несправедливости SPNs периодически.
Таким образом, мои три подсказки:
- Удостоверьтесь, что Вы видите SPN для HTTP\MACHINENAME под sharepoint сервисной учетной записью в AD.
- Удостоверьтесь, что Вы видите SPN для HTTP\YOURALIAS под sharepoint сервисной учетной записью в AD.
- Удостоверьтесь, что флажок "Enable Integrated Windows Authentication" устанавливается на всех Ваших клиентах. Установка этого флажка включает Kerberos на веб-браузере, который является требованием.
-
1Я использовал Скрипача прежде для исследования Заголовка аутентификации, и это - действительно NTLM. Если бы это был Kerberos, то я ожидал бы видеть Согласовывание (или я принимаю неправильно?). Снова, я работаю немного слепой сюда, поскольку у меня нет доступа сервера. Спасибо за подсказки я отправлю первые два из Сетевым Администраторам и последнему моим пользователям и we' ll видят, как это идет. – Tim 17 August 2009 в 04:21
-
2Да, это может быть довольно жестко если Вы don' t имеют доступ к серверу или can' t выполняют SETSPN. Я также выполняю Wireshark для обнаружения, какой билет клиент просит. Да, Скрипач должен сказать Вам или Согласовать или Kerberos - что я забываю который. NTLM определенно не, что Вы хотите ;-) – Dave Markle 17 August 2009 в 04:27
Если бы это был Kerberos, то я ожидал бы видеть Согласовывание (или я принимаю неправильно?)
Согласуйте мог быть kerberos, или ntlm. ntlm определенно означает ntlm.
Для подтверждения используемого метода аутентификации проверьте первый символ заголовка аутентификации. Если это - "T", это - ntlm. Если это - "Y", это - kerberos.
http://support.microsoft.com/kb/891032
Обратите внимание, что можно настроить IIS для требования NTLM, но он не работает наоборот (потребуйте kerberos). Было бы хорошо все же.
SSL не является излишеством, если необходимо зашифровать содержание. Kerberos без SSL достаточно безопасен для аутентификации, но не шифрует содержание.
Что Вы подразумеваете под "локальными" учетными записями? У Вас есть standalone/non-domain sharepoint сервер в экстранет, и пользователи входят в систему с учетными записями non-domain/local?