我被要求在域B中的服务器上设置SharePoint站点(在2008 R2上的IIS7下运行),以便域A中的人可以使用HTTP上的MD5 / Digest身份验证登录到它。存在信任关系,以便B信任A,这适用于Kerberos身份验证。我们为密码设置了可逆加密,并检查了域B用户可以使用Digest登录,但是我们无法获取它以便域A用户(与SharePoint服务器不在同一个域中)可以使用MD5 / Digest登录超过http。我们还检查了WireShark浏览器似乎是自己的行为(它是与Server 2008 R2一起提供的IE版本 - 我认为IE7但我没有写下来)。
您能否请您告诉我如何正确设置,或者提供指向Microsoft或其他合理权威文档的链接,该文档说明无法做到这一点?
(顺便说一下,我们使用的是SharePoint Foundation(免费版))
我正在编辑一些更新的信息以防其他人点击这个,并且因为我想要任何进一步的建议添加到此,而不是重复它。
1)我在两台服务器上设置了SharePoint,然后更改了其中一台服务器的域,使应用程序池用户保留在原始域中。经过一些麻烦(从原始域添加DNS后缀,摆弄AAM)我发现我可以在两个服务器中使用摘要进行身份验证,在与服务器相同的域中对用户进行身份验证 - 我不确定这是否是推荐的配置但我认为这是一个有趣的实验。所以这看起来像是Windows功能,而不是SharePoint功能。
2)猜测,我改变了我的搜索条件并在http://technet.microsoft.com/en-us/library/cc778868%28v=ws.10%29.aspx找到了“Web服务器必须是与用户帐户相同的林的成员。”我认为我的设置对应不同的森林,所以这看起来很像“这种行为是设计的”窗口功能。
答案 0 :(得分:0)
您是否尝试过以下适用于SP2010的cmd命令: stsadm -o setproperty -pn“peoplepicker -searchforests”-pv“forest:[currentDomainName],[Username],[Password]; domain:[newTrustedDomainName],[Username],[Password]”-url“[YourSiteUrl]” 如果需要,请确保您具有备用访问映射。
一般来说,信任的domian应该不是问题,但我不确定MD5 ......