Configurazione di Autenticazione Kerberos su IIS

Ecco una guida dettagliata su come configurare l’autenticazione utente del dominio Kerberos SSO (Single Sign-On) trasparente sul sito Web IIS che esegue Windows Server 2012 R2.
Avviare Gestione IIS sul tuo server Web, selezionare il sito Web e andare alla sezione Autenticazione . Come si vedere, solo l’ autenticazione anonima è abilitata per impostazione predefinita. Disabilitarla e abilitare l’ autenticazione di Windows ( innanzitutto IIS cerca sempre di eseguire l’autenticazione anonima ).

Aprire l’elenco dei provider, disponibili per l’autenticazione di Windows ( provider ). Per impostazione predefinita, sono disponibili due provider: Negoziazione e NTLM . La negoziazione è un contenitore che utilizza Kerberos come primo metodo di autenticazione e, se l’autenticazione fallisce, viene utilizzato NTLM. È necessario che Negoziazione venga per prima nell’elenco dei provider.

Il passaggio successivo include la registrazione della voce principale del servizio (SPN) per il nome del sito Web, a cui gli utenti accederanno. 
Creare un account AD separato e associare voci SPN ad esso. Il pool di applicazioni di destinazione del nostro sito Web verrà avviato da questo account.

Creare un account di dominio iis_service con relativa password . Assicurarsi che le voci SPN non siano assegnate per questo oggetto (l’attributo servicePrincipalName è vuoto).

Supponiamo che il sito Web debba rispondere a http: //webportal e http: //webportal.test.loc . Dobbiamo specificare questi indirizzi nell’attributo SPN dell’account del servizio.

Setspn /s HTTP/webportal dominio\iis_service
Setspn /s HTTP/webportal.test.loc dominio\iis_service

è possibile verificare l’assegnazione con questo comando : setspn /l iis_service

A questo punto, tornando sul server WEB, dobbiamo modificare il Pool di Applicazioni

Aprire le Impostazioni avanzate e spostarsi su Identità.> Identità pool di applicazioni
Modificare da ApplicationPoolIdentity in dominio\ iis_service .

Tornare al sito Web in Gestione IIS (non zona Pool)  e selezionare Editor di configurazione .
Nel menu a discesa selezionare system.webServer> sicurezza> autenticazione> windowsAuthentication

Impostare in questo modo :

Concludere la configurazione e resettare con IISreset.
Testiamo l’autenticazione Kerberos. Per farlo, apri http: //webportal.test.loc nel browser del client.
Nota Nel mio caso, non sono riuscito ad autenticarmi immediatamente in IE11. Ho dovuto aggiungere l’indirizzo all’elenco dei siti Web attendibili e specificare Accesso automatico con nome utente e password correnti in Autenticazione utente -> Accesso nelle impostazioni di Siti di zone attendibili.

E’ possibile assicurarsi che l’autenticazione Kerberos sia utilizzata sul tuo sito Web mediante il monitoraggio del traffico HTTP tramite Fiddler. Avviare Fiddler e aprire il sito Web di destinazione nel browser. Nella parte sinistra della finestra, trovare la linea di accesso al sito Web. Andare alla scheda Inspectors nella parte destra della finestra. La linea ” Intestazione autorizzazione (negoziazione) sembra contenere un ticket Kerberos ” indica che Kerberos è stato utilizzato per l’autenticazione sul sito Web IIS.

Configurazione di Autenticazione Kerberos su IIS, Sso Autenticazione IIS, sso iis, implementare sso iis, enable sso iis, sso iis enable

 

Posted in: Web Server
Andrea Ceccherini

About the Author:

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi