Comparez les prix des domaines et des services informatiques des vendeurs du monde entier

Authentification intégrée Windows ne fonctionne pas sur un PC connecté au réseau AD

Fond:

Serveur Web avec pile LAMP

Le serveur Web a un tunnel VPN sur le réseau AD au siège

Plusieurs réseaux AD Dans le monde entier avec des tunnels VPN et relations de confiance avec le réseau HQ

Authentification Kerberos Configuré sur un serveur Web et fonctionne pour tous les réseaux à l'aide de fichiers clés.

Je suis administrateur Web, mais je n'ai accès à aucune des configurations de réseau AD.

Nous avons un problème avec un réseau AD, qui ne se manifeste que dans IE ou Chrome, Lorsqu'un ordinateur utilisé pour accéder à notre serveur Web est lié au nombre de AD. Le marqueur n'est pas transmis et dans les journaux du serveur, aucune entrée n'est liée à la négociation du marqueur. Si nous utilisons Firefox et allumez les paramètres network.negotiate-auth, Ensuite, l'utilisateur peut entrer dans le système sans problème, cependant, lorsqu'il est utilisé IE Il reçoit un message d'erreur d'autorisation. Le site Web est situé dans la zone intranet et IWA Vérifié (Ceci est contrôlé GPO)

Si les utilisateurs essaient d'accéder au site avec IE ou Chrome de l'extérieur de leur AD, Ils recevront l'invitation de connexion attendue au système d'authentification, puis le jeton sera expédié correctement.

J'ai parlé avec les administrateurs de réseau et ils sont sûrs pour AD Non nécessaire la configuration spéciale pour assurer l'authentification Kerberos, Mais je ne peux pas comprendre pourquoi l'authentification fonctionne pour six autres réseaux AD et ne fonctionne pas dans cette 1, Si ce n'est pas la configuration elle-même AD.

Quelque chose me manque? Que peut-on expliquer au rejet des pourparlers sur jeton?

[Noter - Ce n'est pas urgent et parce que je sors du bureau, je répondrai à toutes les demandes de plus de détails sur le lundi]
Invité:

Christine

Confirmation de:

Le problème était que le jeton a été envoyé et une tentative a été faite de tentative à l'intérieur du réseau. AD, Mais il a toujours conduit à une défaillance due au cryptage utilisé lors de la création keytab.

Initialement nous avons utilisé

-crypto DES-CBC-CRC

Mais dès que nous avons changé d'utilisation

-crypto RC4-HMAC-NT

Le problème est parti.

Hannah

Confirmation de:

Pas un expert dans ce cas, mais j'ai tendance à penser que s'il n'y a pas de jeton de négociation, le problème peut conclure que l'application n'a pas enregistré. SPN avec le nom de l'utilisateur associé à keytab.

Si tel est le cas, la commande suivante s'exécutant sur le serveur AD, peut le réparer:

setspn –a HTTP / (yourhostname) (keytabusername)

par exemple setspn -a HTTP / intranetappsrv.mycompany.com jbossaccount

Pour répondre aux questions, connectez-vous ou registre