środa, 9 lipca, 2008 - 17:19

IIS i kerberos

Autor: nExoR | Kategorie: HOWTO, security

temat wraca raz na jakiś czas jak boomerang, a ponieważ walczyłem z tym trochę dzisiaj, kilka lików dla potomności, które mogą się przy takich sprawach przydać:

  • na początek link do toola DelegConfig - nie znałem, a bardzo przydatne narzędzie. Proste i sqteczne.
  • jak powinny być skonfigurowane SPNy dla IIS
  • dość fajny zbiór informacji o kerberosie na technecie
  • lista zmian w obsłudze kerberosa
  • ..które to każą pamiętać o jednym z dwóch ostatecznych wniosków z dzisiejszej walki: różnica pomiędzy w2k i w2k3 jest w tej materii dość istotna jeśli chodzi o autentykację cross-forest. Dla ‘external trust’ jest ona niemożliwa, pełna obsługa pojawiła się wraz z ‘forest trust’ dostępnym od wersji w2k3 [i taki musi być poziom funkcjonalny root domain w obu lasach!]
  • drugi wniosek po walce jest taki: wiele zależy od tych najprostszych mechanizmów jak DHCP czy DNS, ponieważ zła konfiguracja na tym etapie powoduje poważne trudności w bardzo podstawowych czynnościach - jak rozwiązywanie nazw
  • na koniec przestroga z ostatnich kilq doświadczeń: LUDZIE, UŻYWAJCIE NAZW FQDN! (;

Komentarze (9)

  1. kojn napisał:

    FQDN … bedziemy ;) kojn.krzysztof.szyling.

  2. nExoR napisał:

    @kojn: to sie tyczy również moich doświadczeń. ostatnio miałem mała walkę z dev u nas…

  3. Tomek napisał:

    Jeżeli chodzi o ten temat to poleca serie z blogu AD:
    http://blogs.technet.com/askds/archive/2008/05/14/troubleshooting-kerberos-authentication-problems-name-resolution-issues.aspx
    http://blogs.technet.com/askds/archive/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1.aspx
    http://blogs.technet.com/askds/archive/2008/06/11/kerberos-authentication-problems-service-principal-name-spn-issues-part-3.aspx
    http://blogs.technet.com/askds/archive/2008/06/09/kerberos-authentication-problems-service-principal-name-spn-issues-part-2.aspx
    http://blogs.technet.com/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx

    I jezeli jeszcze o konfiguracje, to czestszym scenariuszem jest konfigurowanie SPN dla odpowiedniego konta na ktorym dziala aplikacja ASP.NET:
    http://support.microsoft.com/kb/810572
    A z narzedzi przydatnych przy diagnozowaniu to bym wspomnial jeszcze AuthDiag:
    http://www.microsoft.com/Downloads/details.aspx?familyid=E90FE777-4A21-4066-BD22-B931F7572E9A&displaylang=en

    To tak na tyle z szybkich linkow.

  4. Tomek napisał:

    Ech … nawklejalem sie linkow jak glupi w komentrzu, wyslalem, teraz widze ze komentarza nie ma … chyba to zbiore we wpisie u siebie na blogu wiec :(

  5. W2K.PL » Blog Archive » Konfiguracja uwierzytelnienie Kerberos … a raczej rozwiązywanie problemów napisał:

    […] dzisiaj komentarz do wpisu na W-Files. Napisałem, wysłałem … i nic. Jako że zgromadziłem w nim kilka linków to trochę mi […]

  6. Tomek napisał:

    No prosze … i komentarz sie pojawil :)

  7. nExoR napisał:

    wstawiłeś tyle linków, że akismet uznał to za spam q:
    dzieki za komenty (:

  8. W-Files » Blog Archive » czy nazwa kompa w lesie może się duplikować? napisał:

    […] samych SNPach niedawno pisałem a propos kerberosa, uściślał też te informacje gibon. Przy okazji tego grzebania znalazłem […]

  9. zajefajnyx napisał:

    Chcemy wiecej :D

Dodaj komentarz

Sprawdzanie komentarzy jest włączone i może opóźnić pojawienie się Twojego komentarza.