Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

IISWebサイトでのKerberos認証の構成

これは、Windows Server 2012R2を実行しているIISWebサイトで透過的なSSO(シングルサインオン)Kerberosドメインユーザー認証を構成する方法のステップバイステップガイドです。

WebサーバーでIISManagerを起動し、必要なWebサイトを選択して、認証に移動します。 セクション。ご覧のとおり、匿名認証のみ デフォルトで有効になっています。無効にしてWindows認証を有効にします まず、IISは常に匿名認証を実行しようとします)。

IISWebサイトでのKerberos認証の構成

Windows認証に使用できるプロバイダーのリストを開きます(プロバイダー )。デフォルトでは、2つのプロバイダーを利用できます:交渉 およびNTLM 。 Negotiateは、最初の認証方法としてKerberosを使用するコンテナであり、認証が失敗した場合はNTLMが使用されます。 交渉する必要があります プロバイダーのリストの最初に来る。

IISWebサイトでのKerberos認証の構成

次のステップには、サービスプリンシパル名(SPN)の登録が含まれます。 ユーザーがアクセスするWebサイトの名前のエントリ。 IIS Webサイトを、それが配置されているサーバーの名前でのみ使用できるようにする必要がある場合( http:// server-name またはhttps://server-name.adatum.loc )、追加のSPNエントリを作成する必要はありません(SPNエントリはADのサーバーアカウントにすでに存在します)。 Webサイトのアドレスがホスト名と異なる場合、または負荷分散を使用してWebファームを構築している場合は、追加のSPNエントリをサーバーまたはユーザーアカウントに接続する必要があります。

IISサーバーのファームがあるとします。この場合、別のADアカウントを作成し、それにSPNエントリをバインドすることをお勧めします。当社のウェブサイトのターゲットアプリケーションプールは、このアカウントから開始されます。

ドメインアカウントを作成するiis_service 。このオブジェクトにSPNエントリが割り当てられていないことを確認してください(servicePrincipalName属性が空です)。

IISWebサイトでのKerberos認証の構成

Webサイトがhttp:// webportalで応答する必要があるとします。 およびhttps://webportal.adatum.loc 。これらのアドレスは、サービスアカウントのSPN属性で指定する必要があります。

Setspn /s HTTP/webportal adatum\iis_service
Setspn /s HTTP/webportal.adatum.loc adatum\iis_service

IISWebサイトでのKerberos認証の構成

したがって、ユーザーがこれらのアドレスにアクセスしたときに、このアカウントがKerberosチケットを復号化し、セッションを認証できるようにします。

アカウントのSPN設定は次のように確認できます:

setspn /l iis_service

IISWebサイトでのKerberos認証の構成

ヒント 。同じSPNが異なるドメインエントリで使用されている場合、Kerberosは正しく機能しません。次のコマンドを使用して、ドメインに重複するSPNがないことを確認します。setspn –x

次のステップは、IISアプリケーションプールを構成して、前に作成したアカウントから起動することです。

Webサイトのアプリケーションプールを選択します(この例では、DefaultAppPoolです)。

IISWebサイトでのKerberos認証の構成

詳細設定を開きます IDに移動します。

IISWebサイトでのKerberos認証の構成

ApplicationPoolIdentityから変更します adatum \ iis_serviceへ 。

IISWebサイトでのKerberos認証の構成

次に、IISマネージャーでWebサイトにアクセスし、構成エディターを選択します。 。

ドロップダウンメニューで、system.webServer>セキュリティ>認証>windowsAuthenticationを選択します

IISWebサイトでのKerberos認証の構成

useAppPoolCredentialsを変更します に 。

したがって、IISがドメインアカウントを使用してクライアントからのKerberosチケットを復号化できるようにします。

次のコマンドを使用してIISをリセットします:

iisreset

IISWebサイトでのKerberos認証の構成

すべてのWebファームサーバーで同じように構成する必要があります。

Kerberos認証をテストしてみましょう。これを行うには、クライアントのブラウザでhttps://webportal.adatum.locを開きます。

。私の場合、IE11では一度に認証できませんでした。信頼できるWebサイトのリストにアドレスを追加し、現在のユーザー名とパスワードを使用した自動ログオンを指定する必要がありました ユーザー認証->ログオン 信頼できるゾーンサイトの設定。 IISWebサイトでのKerberos認証の構成

Fiddlerを使用してHTTPトラフィックを監視することにより、WebサイトでKerberos認証が使用されていることを確認できます(このツールについては前述しました)。

Fiddlerを起動し、ブラウザでターゲットWebサイトを開きます。ウィンドウの左側で、Webサイトアクセスの行を見つけます。ウィンドウの右側にある[インスペクター]タブに移動します。 「承認ヘッダー(ネゴシエート)にはKerberosチケットが含まれているようです 」は、KerberosがIISWebサイトでの認証に使用されたことを示しています。

IISWebサイトでのKerberos認証の構成


  1. 高性能NGINXおよびPHP-FPMWebサーバーの構成

    PHP-FPM(Fast Process Manager) PHPスクリプトを実行するためのFastCGIの個別の実装です。 NGINX Webサーバー(静的処理)とPHP-FPMの組み合わせを使用して、LAMPスタック(NGINX、Apache、およびmod_phpモジュール)よりも高速で高性能なWebサーバーをWebサイトに構築できます。 LEMP は、通常、WebサイトのホスティングとWebアプリケーションの公開に一緒にインストールされるツールのオープンソースソフトウェアセットです。この略語は、一連のOS Linuxを表します。 、 Nginx Webサーバー(より一般的な

  2. MDADMを使用したLinuxでのソフトウェアRAIDの構成

    MDADM Linux上でソフトウェアRAIDを作成および管理できるツールです。この記事では、mdadm(複数のディスク管理)を使用してRAIDアレイストレージを作成する方法、ディスクを追加および管理する方法、ホットスペアを追加する方法などを示します。 mdadm:ソフトウェアRAID管理ツールをインストールするにはどうすればよいですか? mdadmをインストールするには、インストールコマンドを実行します: CentOS / Red Hatの場合(yum / dnfが使用されます):yum install mdadm Ubuntu / Debianの場合:apt-get