项目背景: 我正在建立一个小型农场,其中Intranet是它自己的应用程序。遵循最低优先级帐户设置原则,我为每个进程/应用程序创建了域用户帐户。池。服务身份验证在Kerberos上运行良好。
其中一个项目需要通过Internet向客户提供另一个Web应用程序(与Intranet分开)。为了保持AD结构分离,我们决定使用ADAM。该应用程序。池帐户是独立的,也使用Kerberos。在https://blogs.pointbridge.com/Blogs/morse_matt/Pages/Post.aspx?_ID=2之后,我扩展了原始应用程序,并将其配置为Extranet区域,分配了文章中概述的LDAPMembership提供程序。
困境 虽然人员选择器工作并允许我从AD和ADAM数据存储中指定收集管理员,站点所有者,成员等,但我无法登录我的用户。我经常得到用户无法通过身份验证错误。而且很好,LOG不会产生与目录查找相关的错误。似乎ADAM数据存储永远不会被命中。
我自己的想法,基于MS文章,是因为我不使用NTLM,爬虫永远不会到达Extranet区域。但是,如果我们都知道Kerberos优于NTLM,我应该如何保护应用程序。
非常感谢任何想法。
注意:SPN已正确设置,权限已根据需要分配,ADAM用户已禁用设置为false,app。池帐户列在ADAM
内的读者角色容器中谢谢, 千斤顶
答案 0 :(得分:0)
您可以检查的一件事是网络端口的打开。我假设您的Web服务器和LDAP服务器位于不同的网段上。
想法是LDAP端口和SSL端口不同。如果人员选择器使用LDAP端口并且登录使用SSL端口,那么这可以解释为什么一个工作而另一个不工作,以及为什么调用没有到达LDAP服务器。