[英]Constrained delegation (Kerberos) only working using localhost
我们已经开发了在IIS 6.2上运行的WebAPI应用程序。 该API使用集成身份验证。 因此,将在调用API的用户的用户上下文中执行操作。
除此之外,因为某些操作会执行对平台中另一台服务器的远程操作。 我们使用了约束委派(kerberos)来管理Kerberos双跳,并在用户调用API时在远程服务器中得到验证。
我们在IIS中进行了配置更改(关于启用Windows身份验证),并在AD中为运行IIS的服务器启用了“信任此计算机以委派给任何服务(仅Kerberos)”。
当前状态是,如果我们使用localhost访问API,则一切正常。 但是,如果我们使用FQDN或什至127.0.0.1进行访问,则在后台执行远程操作的API调用返回时,它会因未授权而失败。
有谁知道我们可以解决这种配置问题?
谢谢
听起来您所做的一切都正确无误...除了没有或没有在AD中为主体(计算机/服务器对象)(指目标服务器上运行的Web服务)正确设置SPN外。 例如,服务器名称为server1,AD和DNS域名为acme.com。 然后,AD中服务器的SPN必须为HTTP / server1.acme.com。 参考: 在IIS中为网站设置Kerberos身份验证
从IIS到SQL服务器的Kerberos双跃点委派(使用django)
[英]Kerberos Double Hop Delegation from IIS to SQL server (using django)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
