Will man Kerberos einsetzen, sich auf einer Website zu authentisieren, muss man sogenannte Service Principal Names (SPN) registrieren. Ein SPN sagt, für welchen Dienst ein Client ein Kerberos Ticket holen muss und sieht z.B. so aus: HTTP/intranet.contoso.com.
Läuft der App Pool unter einem Domain Account, musste man die SPNs bei diesem Service Account registrieren. Läuft er unter NetworkService, wurde er unter dem Computer Account registriert.
Mit IIS7 kann die Authentication im Kernel Mode durchgeführt werden. Der entsprechende Screen sieht wie folgt aus. Dynamics CRM hat diese Einstellung z.B. aktiviert. Bei SharePoint ist sie out-of-the-Box deaktiviert.
Erfolgt die Authentication im Kernel Mode, muss der SPN zwingend auf den Computer Account registriert werden. Egal ob der Application Pool unter Network Service oder einem Service Account läuft. Der technische Grund liegt darin, dass in jedem Fall der Computer Account das Kerberos Ticket prüft. Weitere Details finden sich in diesem Blog Post: New in IIS 7 - Kernel Mode Authentication.
Keine Kommentare:
Kommentar veröffentlichen