我有一个托管在 Windows Server 2008 r2 和 iis7 上的 SharePoint 网站。
SharePoint 网站托管在端口 80 上。
当我通过输入机器的 IP 浏览站点时,我会收到一个登录窗口,要求输入连接机器的凭据。提供凭据后,另一个登录窗口会要求输入连接到 SharePoint 站点的凭据。
我的问题是,当用户登录到 SharePoint 站点时,他使用活动目录中指定的凭据,那么为什么在我的情况下我会收到两次登录窗口?
谢谢
答案1
您是否配置了 SPN(服务主体名称)?
你最好在网上搜索:
- “双跳”
- 委托与冒充,
- SPN(服务主体名称),
- 受信任的委派计算机
- ETC。
例如:
- 基思·布朗。安全简报。证书和授权
- 在 SharePoint 2010 中配置 Kerberos 身份验证
- 为 SharePoint 2007 配置 Kerberos:第 1 部分 - SharePoint 的基本配置
- http://www.windowsecurity.com/articles/Kerberos-Sharepoint-Environment.html
- http://support.dspanel.com/help4/Server_Configuration/Delegation.htm
- SharePoint 部署人员关于 Kerberos 的基本提示
-- 更新 1:
可能是我不了解 IIS、Sharepoint 和您连接的机器之间的机器分布。
但是,无论如何,如果您从 AD 外部通过不受信任的通道从非域机器连接不受信任的来源,那么您将无法通过安全通道在 AD 内部(域机器之间)使用的 Kerberos 进行身份验证。因此,身份验证会发生两次。首先,通过 NTLM2(从外部),然后,用于内部 Kerberos 机制。我知道这种情况发生 10-20 次的情况。