हमारे पास थोड़ा जटिल IDAM सेटअप है:
यानी अंत उपयोगकर्ता की मशीन और ब्राउज़र मूल AD के साथ एक नेटवर्क में बैठते हैं, और हमारे जेट्टी-आधारित अनुप्रयोग और AD जो इसे (स्थानीय AD) बात कर सकते हैं दूसरे में बैठते हैं।
दोनों AD के बीच दो तरफा भरोसा है। पैरेंट नेटवर्क के ब्राउज़र में विश्वसनीय डोमेन में स्थानीय डोमेन है।
जेट्टी सर्वर का सेटअप निम्नानुसार है:
- यह स्थानीय AD में एक प्रिंसिपल के खिलाफ उत्पन्न कीटाटब फाइल का उपयोग करता है
- यह स्थानीय AD में परिभाषित उपयोगकर्ता के तहत विंडोज सेवा के रूप में चल रहा है
- क्षेत्र, डोमेन-क्षेत्र मानचित्रण और kdc को स्थानीय AD के डोमेन के विरुद्ध परिभाषित किया गया है
- यह spnego का उपयोग करता है - isInitiator गलत पर सेट है; doNotPrompt सच है; storeKey सच है
यह समस्या है:
- एक परीक्षण के रूप में, स्थानीय नेटवर्क के अंदर एक ब्राउज़र से सर्वर तक पहुंच (यानी स्थानीय विज्ञापन से जुड़ा हुआ) काम करता है - लॉग में केर्बरोस डिबग जानकारी दिखाई देती है, मैं HTTP ट्रैफ़िक में केर्बरोस बातचीत को सही देख सकता हूं, और उपयोगकर्ता स्वचालित रूप से साइन इन हो जाता है । प्रतिभाशाली।
हालाँकि , मूल नेटवर्क के अंदर एक ब्राउज़र से सर्वर तक पहुँच (जो हमारे उपयोगकर्ता चीजों को कैसे करेंगे) काम नहीं करता है! ब्राउज़र को 401 unauth वापस मिलता है, लेकिन फिर क्रेडेंशियल के लिए संकेत देता है, जो जब दर्ज किया जाता है तो एक खाली स्क्रीन देता है। फिर एड्रेस बार में क्लिक करें और एंटर दबाएं दो चीजों में से एक है, जो इस बात पर निर्भर करता है कि क्रेडेंशियल्स रिमोट या लोकल एडी के लिए हैं:
- स्थानीय AD क्रेडेंशियल्स तब लॉग में स्क्रैच से Kerberos के साथ ठीक लॉग इन करें (GET अनुरोध, 401 अनहुथ प्रतिक्रिया, Kerberos हेडर अनुरोध, आदि)
- दूरस्थ AD क्रेडेंशियल लॉग इन नहीं करते (GET अनुरोध, 401 अनहुथ प्रतिक्रिया, NTLM शीर्षलेख जैसा दिखता है
Authorization: Negotiate <60 or so random chars>
) :
किसी भी तरह से, तथ्य यह है कि यह संकेत दे रहा है गलत है!
क्या इन लक्षणों के लिए कोई स्पष्टीकरण है? क्या सेटअप हमारे पास है जो हम चाहते हैं?
उपरोक्त विवरण के बारे में क्या गलत हो सकता है: जेट्टी सर्वर के बारे में मैंने जो भी कॉन्फ़िगरेशन का उल्लेख किया है, वह सटीक होना चाहिए, जैसा कि मैंने किया। मुझे और विवरण प्रदान करने में खुशी हो रही है। AD या पैरेंट नेटवर्क ब्राउज़र के बारे में कोई भी कॉन्फिगरेशन संभावित रूप से संदिग्ध है, क्योंकि यह मेरे नियंत्रण में नहीं है और मैंने अपने लिए देखे जाने के बजाय कॉन्फ़िगरेशन की रिपोर्ट की है।