内置身份验证 Windows 不适用于连接到网络的PC AD
背景:
Web服务器与堆栈 LAMP
Web服务器对网络具有VPN隧道 AD 在总部
几个网络 AD 全世界与隧道 VPN 和与网络的信任关系 HQ
验证 Kerberos 在Web服务器上配置,并适用于使用关键文件的所有网络。
我是Web管理员,但我无法访问任何网络配置 AD.
我们有一个网络有问题 AD, 这只是表现为 IE 或者 Chrome, 当用于访问我们的Web服务器的计算机被绑定到考虑的计算机时 AD. 没有传输标记,并且在服务器日志中没有与标记的协商有关的条目。 如果我们使用 Firefox 并打开参数 network.negotiate-auth, 然后,用户可以在没有问题的情况下进入系统 IE 他收到授权错误消息。 网站位于Intranet地区, IWA 检查一下 (这是控制的 GPO)
如果用户尝试访问该站点 IE 或者 Chrome 从他们外面 AD, 它们将收到对身份验证系统的预期登录邀请,然后令牌将正确发货。
我与网络管理员交谈,他们确定 AD 不需要特殊配置以确保身份验证 Kerberos, 但我无法理解为什么认证适用于其他六个网络 AD 并且不起作用 1, 如果这不是配置本身 AD.
我错过了什么? 令牌的谈判可以解释什么?
[笔记 - 这不是迫切的,因为我走出办公室,我会在周一回答任何要求的详细信息]
Web服务器与堆栈 LAMP
Web服务器对网络具有VPN隧道 AD 在总部
几个网络 AD 全世界与隧道 VPN 和与网络的信任关系 HQ
验证 Kerberos 在Web服务器上配置,并适用于使用关键文件的所有网络。
我是Web管理员,但我无法访问任何网络配置 AD.
我们有一个网络有问题 AD, 这只是表现为 IE 或者 Chrome, 当用于访问我们的Web服务器的计算机被绑定到考虑的计算机时 AD. 没有传输标记,并且在服务器日志中没有与标记的协商有关的条目。 如果我们使用 Firefox 并打开参数 network.negotiate-auth, 然后,用户可以在没有问题的情况下进入系统 IE 他收到授权错误消息。 网站位于Intranet地区, IWA 检查一下 (这是控制的 GPO)
如果用户尝试访问该站点 IE 或者 Chrome 从他们外面 AD, 它们将收到对身份验证系统的预期登录邀请,然后令牌将正确发货。
我与网络管理员交谈,他们确定 AD 不需要特殊配置以确保身份验证 Kerberos, 但我无法理解为什么认证适用于其他六个网络 AD 并且不起作用 1, 如果这不是配置本身 AD.
我错过了什么? 令牌的谈判可以解释什么?
[笔记 - 这不是迫切的,因为我走出办公室,我会在周一回答任何要求的详细信息]
没有找到相关结果
已邀请:
2 个回复
卫东
赞同来自:
最初我们使用过
-crypto DES-CBC-CRC
但是一旦我们转换使用
-crypto RC4-HMAC-NT
问题消失了。
詹大官人
赞同来自:
如果是这样,则在服务器上运行以下命令 AD, 可以解决它:
setspn –a HTTP / (yourhostname) (keytabusername)
例如 setspn -a HTTP / intranetappsrv.mycompany.com jbossaccount