如果用户从我们的组织内部访问我们的SharePoint网站,我们希望使用集成Windows身份验证;当有人尝试从我们的组织外部进行身份验证时,我们希望使用基本身份验证(使用SSL)。 阅读,似乎IE将尝试Windows Auth无论如何,并忽略来自我们组织外部的Basic Auth。这是不可取的,因为用户需要在DOMAIN中输入登录框(用户因为调用我们的帮助台而臭名昭着)。 Basic Auth允许我们指定默认域。 Windows身份验证不会这样做。因此,希望在外部使用Basic Auth,在内部使用Windows Auth。
在网络中启用Windows Auth以及在网络外部启用Basic Auth的解决方案是什么?我是否需要在IIS中设置两个单独的站点(一个用于Windows身份验证,另一个用于基本身份)?这需要2个不同的主机名吗?
我有没有想到的解决方案?
谢谢大家。
答案 0 :(得分:2)
假设:您希望所有内部和外部用户都针对同一个Active Directory域进行身份验证。
如果主要目标是外部用户无需键入域名即可登录,则可以使用ISA服务器。
通过将内部DNS直接指向您的sharepoint服务器,您可以让内部用户直接连接到您的Sharepoint服务器。因此,Windows auth将适用于他们。
然后可以将外部用户指向您的ISA服务器(通过DNS),并且可以将ISA配置为显示Sharepoint的登录页面,其中不需要域名。 (这是他们填写的Web表单,但身份验证是针对Active Directory进行的。)
让ISA以这种方式工作有点棘手,因为你必须正确地在Sharepoint中获得AAM设置。如果您正在使用SSL或SQL Reporting Services,那就更棘手了。主要问题是没有有意义的错误消息告诉你什么是错的。但这是可能的。 :)
我们有这个设置,并且效果很好,但是让工作正常是一种痛苦。
Tim
答案 1 :(得分:1)
Windows身份验证使用协议协商将使用哪种身份验证方法。我以前错了,但我不认为你可以不使用两个单独的虚拟目录(如果你选择可以指向相同的物理目录)。我们的想法是为每个配置不同的身份验证机制。
答案 2 :(得分:1)
为了在SharePoint网站上配置不同的身份验证方法(假设您至少在谈论SharePoint 2007),您将需要扩展Web应用程序,从而导致在IIS中创建其他网站。您将需要不同的主机名,一个用于内部,一个用于外部。
扩展后,需要配置备用访问映射(这是通过Central Admin完成的)。然后可以在Central Admin的“身份验证提供程序”部分中配置身份验证提供程序。然后将为外部站点配置基本身份验证(确保使用SSL,因为基本身份验证以明文形式发送登录信息),并且内部站点将配置为集成Windows身份验证。以下是一些值得注意的资源:
http://technet.microsoft.com/en-us/library/cc262309%28office.12%29.aspx http://go.microsoft.com/fwlink/?LinkID=79589
希望有所帮助。