プロジェクトの背景: イントラネットが独自のアプリケーションである小さなファームをセットアップしています。最小限の特権を持つアカウントのセットアップ原則に従い、プロセス/アプリごとにドメイン ユーザー アカウントを作成しました。プール。サービス認証は、Kerberos でうまく機能します。
プロジェクトの 1 つは、別の Web アプリケーション (イントラネットとは別) をインターネット経由でクライアントに公開する必要があります。AD 構造を分離しておくために、ADAM を使用することにしました。アプリ。プール アカウントは別のものであり、Kerberos も使用します。https://blogs.pointbridge.com/Blogs/morse_matt/Pages/Post.aspx?_ID=2に従って、元のアプリケーションを拡張し、記事で説明されているように LDAPMembership プロバイダーを割り当てるエクストラネット ゾーンとして構成しました。
ユーザー ピッカーが機能し、AD と ADAM の両方のデータ ストアからコレクション管理者、サイト所有者、メンバーなどを指定できるのに、ユーザーをログインさせることができません。ユーザーを認証できませんというエラー. うまくいけば、LOG はディレクトリ ルックアップに関連するエラーを生成しません。ADAM データ ストアがヒットすることはないようです。
MS の記事に基づく私自身の考えでは、NTLM を使用していないため、クローラーがエクストラネット ゾーンに到達することはありません。それでも、Kerberos が NTLM よりも優れていることがわかっている場合、アプリケーションを保護するにはどうすればよいでしょうか。
どんなアイデアでも大歓迎です。
注: SPN は適切にセットアップされ、必要に応じてアクセス許可が割り当てられました。ADAM ユーザーは false に設定され、アプリを無効にしました。プール アカウントは、ADAM 内の閲覧者ロール コンテナーに一覧表示されます。
ありがとう、ジャック