酷徒LOGO

关于备用DNS名称,IIS NTLM身份验证提示密码


问题:

我们有一个具有HTTPS设置和由内部自定义CA证书签署的证书的现有服务器。
它运行一个使用 Windows 认证的应用程序

e.g。https://internalserver

我们使用 IE/Edge/Chrome/Firefox 从 Windows 框浏览这个文件,它们只加载页面,而不提示输入凭据- 使用你登录的Windows 域凭据。 web服务器和所有 Windows 客户机都位于同一域中。 ( 你 赶得 很 好

我们使用从真实) 购买的SSL证书启用了一个新的DNS别名。

e.g。https://internalserver.local.company.io

我已经在IIS中配置了这个证书,我可以浏览它,但是当我做时,所有浏览器都提示我输入用户名/密码。 如果输入的是域凭证,它就会生效,但为什么出现提示的原因? 在IIS中是否存在使NTLM身份验证仅适用于某些特定主机的操作? 那我该怎么改变?

我不确定HTTPS或者证书与它有什么关系,但是它是有关的。

谢谢


回答 1:

向网络服务器发送证书很危险。 每个浏览器都有一个策略设置或者文件,用于确定浏览器是否在没有提示的情况下发送凭据。 Chrome 和 FF。https://specopssoft.com/blog/configuring-chrome-and-firefox-for-windows-integrated-authentication/


回答 2:

我追踪了这个。

旧的DNS记录被 IE ( 因此Edge和 Chrome 共享它的安全设置) 考虑在"内部网"区域中。 "自动登录Logon已经在intranet区域中启用,但对于其他站点禁用。

新DNS记录有不同的后缀,因此不被视为"内部网",而是"互联网",因此自动NTLM登录不会发生。

我要求域管理员向"内部网"域的组策略列表添加新后缀( local.mycompany.io )。 一旦组策略刷新,IE。Edge和 Chrome 都允许自动NTLM登录而不提示用户名和密码,这就解决了问题。

Firefox 需要将 local.mycompany.io 添加到 network.automatic-ntlm-auth.trusted-uris 它是关于:config,但是对于 Firefox 来说总是必需的步骤,因这里不需要改变。


回答 3:

在站点的IIS管理员中,有问题转到 Sites<the website>IIS> Authentication 并确保 Anonymous AuthenticationEnabled。 如果是的话转到 Application Pools<the application pool for the website> ,确保将具有适当物理目录权限的帐户的用户名( &密码) 分配给了 Identity

因为你的用户都在同一局域网上,而且URL中的"。"防止用户自动协商/身份验证。

如果要访问特定信息或者用户级别数据,请注意,这将允许任何用户访问特定的信息或者用户级别的数据,这将使任何人都能够访问内容。






Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备17041772号-2  |  如果智培  |  酷兔英语  |  帮酷