[英]Constrained delegation (Kerberos) only working using localhost
我們已經開發了在IIS 6.2上運行的WebAPI應用程序。 該API使用集成身份驗證。 因此,將在調用API的用戶的用戶上下文中執行操作。
除此之外,因為某些操作會執行對平台中另一台服務器的遠程操作。 我們使用了約束委派(kerberos)來管理Kerberos雙跳,並在用戶調用API時在遠程服務器中得到驗證。
我們在IIS中進行了配置更改(關於啟用Windows身份驗證),並在AD中為運行IIS的服務器啟用了“信任此計算機以委派給任何服務(僅Kerberos)”。
當前狀態是,如果我們使用localhost訪問API,則一切正常。 但是,如果我們使用FQDN或什至127.0.0.1進行訪問,則在后台執行遠程操作的API調用返回時,它會因未授權而失敗。
有誰知道我們可以解決這種配置問題?
謝謝
聽起來您所做的一切都正確無誤...除了沒有或沒有在AD中為主體(計算機/服務器對象)(指目標服務器上運行的Web服務)正確設置SPN外。 例如,服務器名稱為server1,AD和DNS域名為acme.com。 然后,AD中服務器的SPN必須為HTTP / server1.acme.com。 參考: 在IIS中為網站設置Kerberos身份驗證
從IIS到SQL服務器的Kerberos雙躍點委派(使用django)
[英]Kerberos Double Hop Delegation from IIS to SQL server (using django)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
