Ich habe WebApplication mit dem neuesten ASP.Net Core geschrieben. Wir hosten die Anwendung erfolgreich mit dem HttpPlatformHandler und IIS 8.5 mit Anonmymous Authentication. Wir sind verpflichtet, die Kerberos-Authentifizierung zu verwenden und Kerberos Constrained Delegation zu verwenden.Kerberos Contrained Delegation mit IIS 8.5, ASP.Net Core und HttpPlatformHander
Unser Betriebsadministrator hat alle erforderlichen SPNs eingerichtet. Wir verwenden ein Dienstkonto und alle SPNs scheinen ordnungsgemäß registriert zu sein. Wir haben eine Reihe von anderen Anwendungen (SSRS Sharepoint usw.) mit ähnlichen Setup des
In IIS ich die folgenden Schritte ausgeführt haben:
- New AppPool Erstellt die „No Managed Code“ und „Integrierte Pipeline“ ist
- Wir sind das Dienstkonto unter „Identität“
- Erstellt eine neue Webanwendung
- Windows-Authentifizierung „Enabled“ mit als primären Provder
- Ano Verhandeln mit nymous Authentifizierung "Disabled"
- system.webServer/Sicherheit/Authentifizierung/windowsAuthentication "useAppPoolCredentials = True" und "useKernelMode = False"
System.WebServer Security Authentication Windows Authentication Screen Capture
- Ich habe auch dafür gesorgt, dass unter der HttpPlatform Config forwardWindowsAuth Token s Satz auf True
HttpPlatform IIS Screen Capture
Wenn ich ein HttpGet vom WebApi aus führe, löst Meine Anwendung einen Authentifizierungsfehler aus, dass sich das "Dienstkonto" nicht beim Server anmelden kann. Dies schien sehr seltsam, so dass ich jetzt eine Fiddler-Ablaufverfolgung ausgeführt habe und festgestellt habe, dass vor dem Rendern der Authentifizierungsseite 3 401 Fehler auftreten.
Die nächsten Ergebnisse zeigen, dass der WWW-Authenticate Header (Negotiate) eine Kerberos-Antwort zu sein scheint.
Jede Hilfe oder Ideen würde sehr geschätzt werden.