Несколько SPNEGO аутентифицировали веб-серверы на одном имени хоста
MaxCDN (1 ТБ за $10-0.01/ГБ) и Akamai (1 ТБ за $100-0.10/ГБ - через торгового посредника VPS.net) являются лучшими, оценил CDNs, который мы нашли. MaxCDN основан на Передаче любому из узлов, которая работает очень хорошо для меньших файлов (т.е. изображения веб-страницы, CSS, и т.д.) должный обычно понизить задержку, в то время как Akamai добивается большего успеха с большими файлами из-за значительно большего, ПОЯВЛЯЕТСЯ.
Сначала последнее: для нескольких служб с аутентификацией SPNEGO на одном хосте, без возни с ключами реестра IE, используйте разные имена.
• Как аутентификация Kerberos работает для IIS, когда нет SPN для HTTP / canonical.host.name определено с помощью (как проверено с помощью setspn -Q)? Клиенты по-прежнему запрашивают и получают билеты именно для этого SPN.
Это автоматический откат на основе SPN HOST \ boxname , который создается для всех компьютеров во время присоединения к домену - если контроллер домена не найти совпадение для SPECIFICSERVICE \ boxname по запросу клиентского приложения, оно предоставит билет на основе HOST \ boxname.
Используйте SETSPN -L boxname , чтобы перечислить SPN, связанные с участником безопасности ( учетная запись пользователя или компьютера).
• Ради интереса, мы попытались запустить пулы приложений с идентификатором службы Java, которая успешно аутентифицируется. Он по-прежнему не работал, пока было определено SPN - попытки аутентификации с помощью билета Kerberos не удались, и был возвращен KRB_AP_ERR_MODIFIED. Запуск пула приложений от имени пользователя, для которого было зарегистрировано SPN, не изменил этого поведения.
По умолчанию для IIS 7 используется useAppPoolCredentials = false и useKernelMode = true; один или оба из них должны быть переключены, чтобы идентификатор пула приложений использовался для декодирования билетов Kerberos.
• Microsoft указывает SPN для включения номера порта, но IE не соответствует этому и никогда не отправляет номер порта в SPN (Firefox и Chrome следуют этому поведению).
И возвращаясь к реальной сути вопроса: когда все остальное исправлено, IE и другие по-прежнему выигрывают '
Есть ли у вас ключи реестра из этой базы знаний http://support.microsoft.com/default.aspx?scid=kb;EN-US;908209 , настроенной на клиент? В противном случае IE не будет запрашивать правильный билет. Для ясности: ключи reg поставлялись с исправлением IE6 +, но с тех пор применяются ко всем версиям IE.
Я не уверен, что понимаю вашу конфигурацию. Настроено ли имя участника-службы HTTP / canonical.host.name для учетной записи службы, используемой для «службы Java»?
На устройстве можно запустить несколько служб с разными идентификаторами. Таким образом, у вас может быть служба под названием HTTP / host1.host.name и HTTP / host2.host.name на одном и том же хосте. Вы можете зарегистрировать участвующие SPN в одной учетной записи службы или в разных учетных записях служб, если захотите.
Запросы для HTTP SPN отображаются на объекты с SPN на основе HOST, если HTTP SPN нигде явно не задано. Это сопоставление выполняется атрибутом SPNMappings для объекта, который выглядит как CN = Служба каталогов, CN = Windows NT, CN = Services, CN = Configuration, DC = forest1, DC = local (forest1.local - это имя леса здесь) согласно http://msdn.microsoft.com/en-us/library/cc220898 (v = PROT.13) .aspx .
Блоги Тристана великолепны. Вы также можете найти полезные блоги по поиску и устранению неисправностей и другие блоги, связанные с Kerberos, на http://blogs.technet.com/b/askds/archive/tags/kerberos/ .
//msdn.microsoft.com/en-us/library/cc220898(v=PROT.13).aspx.Блоги Тристана великолепны. Вы также можете найти полезные блоги по поиску и устранению неисправностей и другие блоги, связанные с Kerberos, на http://blogs.technet.com/b/askds/archive/tags/kerberos/ .
//msdn.microsoft.com/en-us/library/cc220898(v=PROT.13).aspx.Блоги Тристана великолепны. Вы также можете найти полезные блоги по поиску и устранению неисправностей и другие блоги, связанные с Kerberos, на http://blogs.technet.com/b/askds/archive/tags/kerberos/ .