以下是该方案:
客户端具有通过UAG门户主干发布的相当标准的IIS站点。从外部客户端单击门户页面上的链接应该实现重定向到内部托管的所述IIS站点。很简单。
对于除 one 之外的每个域用户,这都可以。以下是成功重定向的输出:
GET
/ uniquesig6192b908e3f362bf06404502c58f28f18ec5923ef22832661845904b888b6fc7 / uniquesig1 / [站点名] / [appdirectory] / [资源]的.aspx
HTTP / 1.1接受:text / html,application / xhtml + xml, / Referer: HTTPS://门户[公司]的.com / [appdirectory] /页/ [资源]的.aspx Accept-Language:en-US User-Agent:Mozilla / 5.0(兼容; MSIE 10.0; Windows NT 6.1; Trident / 6.0)Accept-Encoding:gzip,deflate主机: [othersubdomain] [公司] .COM
DNT:1 连接:Keep-AliveCookie:ASP.NET_SessionId = r5uavyvx0drz42453cml4055; __utma = 128077646.1396813579.1381846816.1381846816.1381846816.1;
但是,有一个AD用户无法成功重定向,无论浏览器,操作系统,位置,ISP如何命名。我们让他们在AD中重新创建用户以创建不同的描述符并验证用户对象是否以某种方式损坏。当'bad'用户尝试单击重定向链接时,将生成以下GET请求:
GET
/ uniquesig6192b908e3f362bf06404502c58f28f18ec5923ef22832661845904b888b6fc7 / uniquesig1 / [站点名] / [appdirectory] / [资源]的.aspx
HTTP / 1.1接受:text / html,application / xhtml + xml, / Referer: HTTPS://门户[公司]的.com / [appdirectory] /页/ [资源]的.aspx Accept-Language:en-US User-Agent:Mozilla / 5.0(兼容; MSIE 10.0; Windows NT 6.1; Trident / 6.0)Accept-Encoding:gzip,deflate主机: [othersubdomain] [公司] .COM
DNT:1 连接:Keep-AliveCookie:__ utma = 128077646.1396813579.1381846816.1381846816.1381846816.1;
如您所见,ASPNet会话ID cookie永远不会发送到IIS进行身份验证。起初,我认为这可能是一个亲和力问题,其中由于负载平衡而无法识别cookie;但是,我们排除了一台服务器以确保流量仅在一个盒子上进行身份验证。 ASP.NET发布了ASP.NET cookie,这再次表明IIS存在潜在问题。然而,同样,它仅限于单个用户。另一种可能性是用户的登录允许时间设置不正确,这可能会拒绝IIS中的会话ID cookie。据客户说,没有骰子。
任何人都可以看到我可能遗失的任何东西吗?谢谢!