4

まず、少し背景があります。DOMAIN_A.LOCALのサーバーでホストされているWSS 3.0に基づくイントラネットサイトがあり、統合Windows認証を使用してDOMAIN_A.LOCALのActiveDirectoryユーザーアカウントに対してユーザーを認証するように設定されています。

この設定は、DOMAIN_A.LOCALのADアカウントを使用してWindowsにログインしているユーザーには問題なく機能しますが、ユーザーが別のドメイン(つまりDOMAIN_B.LOCAL)のADアカウントを使用してWindowsにログインしているPCからサイトにアクセスしようとすると次の問題が発生します。

  1. ユーザーは、ユーザー名だけでなくDOMAIN_A \ UserNameとして資格情報を手動で入力する必要があります。そうしないと、Internet Explorerが自動的にDOMAIN_Bを挿入し、認証が失敗します。

  2. ログインした後、編集のために開くためにドキュメントライブラリ内のMicrosoft Officeドキュメントをクリックするなど、ユーザーが認証をクライアントアプリに渡す必要があることを行うと、無効な資格情報(おそらくDOMAIN_B)は自動的に渡されるため、ユーザーはDOMAIN_Aの資格情報を手動で再入力する必要があります。

私の質問は、これです:

統合Windows認証を使用するときに「デフォルトドメイン」タイプの動作を実装する方法はありますか(基本的なクリアテキスト認証を使用する場合に実行できます)。これにより、DOMAIN_Bのユーザーがユーザー名の前にドメインを入力しない場合、DOMAIN_Aはそれらのために自動的に挿入されますか?

もちろん、この展開には致命的な欠陥がある可能性があることを認識しているので、別の実装の提案も受け付けています。

要約すると、主な問題は、2つの異なる種類のユーザーが1つのSharePointサイトの同じコンテンツにアクセスする必要があることに起因します。DOMAIN_Aのユーザーはすべて、自分自身としてWindowsにログインする独自のフルタイムワークステーションを持っています。残念ながら、 DOMAIN_Bのユーザーは、SharePointでアクセス許可のない一般的な「キオスク」タイプのアカウントを使用してログオンしている共有コンピューターを使用する必要があります。したがって、DOMAIN_Bユーザーは、SharePointの特定のページにアクセスするときにオンデマンドで資格情報を提供する必要があります。DOMAIN_Aの「静的」ユーザーの統合Windows認証の利便性を維持しながら、「キオスク」ユーザーが使用する手動認証の量を最小限に抑えたいと思います。DOMAIN_Bは耐えなければなりません。

4

4 に答える 4

4

DOMAIN_A.LOCALはDOMAIN_B.LOCALを信頼する必要があります。そうでない場合、 DOMAIN_B.LOCALアカウントはDOMAIN_A.LOCAL内で不明であるため、 DOMAIN_B.LOCALのユーザーは資格情報プロンプトを受け取ります。

DOMAIN_B.LOCALがkisokユーザー向けであることを考えると、おそらくこのドメインを信頼したくないでしょう。

Webアプリケーションを新しいゾーンに拡張し、フォームベースの認証を実装するか、ISAサーバーなどのリバースプロキシでWindows認証を使用する必要があります。

于 2009-04-21T16:32:20.213 に答える
2

インターネットで複数のドメインを持つSharePointユーザーアカウントを検索していて、Microsoft Front EndIdentityManagerと呼ばれる興味深いツールに出くわしました。聞いたことありませんか?

つまり…ユーザーアカウントが2つ以上のフォレストに分散されているマルチフォレスト展開を使用している場合。これは、2つの組織が統合され、両方の組織のドメインにアクセスする必要がある場合によく見られます。ユーザーオブジェクトの識別名(ms-ds-Source-Object-DN)属性を使用して、ユーザーアカウント間の関連付けを作成できます。この関連付けでは、1つのアカウントがプライマリアカウントと見なされ、他のアカウントはプライマリアカウントの代替アカウントと見なされます。ユーザーアカウントオブジェクト間にこの関係を作成するためのMicrosoftフロントエンドIDマネージャーと呼ばれるツールがあります。Microsoft Front End Identity Managerの機能の1つは、SharePointサーバーがプロファイルを識別するための代替アカウントのリストを維持できることです。いずれかのアカウントを使用してユーザーのプロファイルを検索する場合、

于 2011-01-20T21:31:30.910 に答える
0

おそらく聞きたいことではありませんが、フォームベースの認証に頼ることができます。

于 2009-04-20T11:51:31.473 に答える
0

残念ながら、Microsoft Officeの統合を維持したい場合(これはあなたが望んでいるように思われます)、Windows認証に固執する必要があります。フォーム認証を使用すると、保持したいと思われる機能のほとんどが削除されます。詳細については、こちらをご覧ください

理想的には、Jasonが言及した提案を使用する必要があります。これは、ある種のリバースプロキシになります。ただし、ISAサーバーのようなものをまだ持っていない場合は、おそらくコストに影響するため、実際には、DOMAIN_Bがユーザー名の前にDOMAIN_B\と入力することを学ぶのがおそらく最善です。

于 2009-04-21T16:50:44.320 に答える