在IIS 7.0中进行委派的Kerberos身份验证
问题描述:
我试图创建一个使用UserPrinciple.Current获取当前登录用户的详细信息并允许他们更改其Active Directory密码的.net网页。在IIS 7.0中进行委派的Kerberos身份验证
经过一番公然的抨击后,我得到了它的工作(耶!)。我唯一的问题是,我希望它在我们的Intranet站点(http:// intranet)上工作,但它似乎只有在指定完全限定的域名(http://intranet.mydomain.co.uk)时才起作用。
望着这页(How to configure an ASP.NET application for a delegation scenario)在“摘要”部分底部的故障排除部分似乎包含两个相互矛盾的建议件:
3.对于Kerberos的正常工作,你必须充分利用所有通信的合格域名(FQDN)。
5.如果Web服务器使用完全限定的域名,则必须将该站点添加到Internet Explorer中的Intranet站点列表中。
需要注意的是第5点开始与IF - 这意味着它不HAVE这样做。但是第3条规定FQDN是必要的。
所以问题很简单:我可以通过IIS 7设置委派而不使用FQDN主机名吗?
答
你需要都否则它不会工作的一个很好的理由和IE将回退到NTLM。 Jus一个侧面说明,编写一个web应用程序,用户可以更改他的AD密码是毫无意义的。这应该通过Windows更改密码对话框而不是一些第三方工具来完成。
如果您的用户有权访问Windows更改密码对话框,这将毫无意义。如果他们是使用移动设备的移动用户,那么(至少在我们拥有的设置中)他们没有这个功能,所以要更改他们的密码,他们需要一个可以远程访问的web应用程序,或者他们必须专程进入办公室。您仍然回答我的问题,因为我必须使用FQDN。 – paulH 2012-08-20 09:17:35
接受的论据。 – 2012-08-20 09:33:05
我讨厌电脑。我刚回到我的“更改密码”网页,现在它正在正常工作**没有**使用FQDN。我发誓,当我在星期五晚上离开它时,它无法工作 - 过去 - 家园时间!所以我的问题的答案似乎是:是的,只要不是星期五晚上,您可以让代表团没有FQDN ... – paulH 2012-08-20 10:00:45