2

Windows Server 2012 (IIS 8.5) で実行されているイントラネット .NET 4.5.1 Web アプリケーションにアクセスする Firefox 38.2.1 (または IE 11) から SQL Server 2008 R2 へのダブルホップの制約付き委任を実装するシステムを使用しています。別のサーバー。委任シナリオは機能しています。ユーザーの AD 資格情報は、Web サーバーとは別のサーバー上のデータベースに渡されます。DC は Windows Server 2008 R2 で、SPN を使用しています。

ただし、Kerberos が失敗する Firefox 構成設定の欠落などのシナリオがあります。認証プロトコルは NTLM にダウングレードされます。委任は、Kerberos 認証プロトコルが復活するまでの期間、機能しなくなります (5 分と言う情報源もありますが、テストでは 10 ~ 12 分ほどかかります)。さらに、失敗した委任は、プロトコルのダウングレードが有効になってから Kerberos が自動的に復元されるまで、アプリケーションにアクセスするすべてのユーザーに影響します。つまり、セッションは NTLM を使用し、データベースへのアクセスが 10 ~ 12 分間ブロックされます。

コード (c#)/IIS/Firefox/IE、または別の方法を使用して、認証プロトコルを Kerberos に手動で復元し、NTLM が使用されているプロトコルであるウィンドウを短縮する方法はありますか?

4

2 に答える 2

1

この種の問題は以前にも見たことがあります。カスタム コードを使用してこれを解決しようとしないことを強くお勧めします。これは、プロトコル条件の障害を検出し、それに応じて対処する必要があるためです。そのような努力は自明ではありません。代わりに、(1) Firefox がインストールされているすべてのマシンを反復処理するスクリプト メソッドを開発し、network.negotiate-auth.trusted-uris と network.negotiate-auth.delegation-uris を含むように設定する方が実際には簡単です。ドメインの名前 (参照: SPNEGO と Kerberos を使用して認証するように Firefox を構成する)、または (2) 中央サーバーを介して Firefox の設定 (about:config で表示されるもの) を適用します。#2 については、エンタープライズ環境での Firefox の展開を参照してください。. Firefox のすべてのカスタム設定をそのように制御できるので、#2 の方が気に入っています。

于 2017-02-13T04:17:53.340 に答える