LINUX.ORG.RU

История изменений

Исправление DrBim, (текущая версия) :

«А так - смотри настройки на винде и групповые политики. Может быть надо в Trusted sites сайт добавить. Браузер не посылает тикет Kerberos первому попавшемуся сайту»

Групповые политики - этим безопасники рулят. В ПН пойду к ним. В своем IE я уже пробовал добавлять свой ресурс в доверенные узлы интранета, для этого пришлось открывать его от своего имени доменного админа, и двукратного запроса учетных данных не происходило. И это действует только если браузер работает от админа, на непривилегированного пользователя уже не распространяется. Эту всю кухню я не знаю. Но ты верно предположил, что «доверенный узел» решает проблему! А вот если запускать другие браузеры от того же админа, то эта настройка не действует, все равно двукратный запрос приходит. По-моему, такое свойство «доверенные сайты» у всех браузеров отличаются от такого же у IE. К сожалению, теории куда ни зайдешь никто на рассказывает, везде только «делай так».

«Если сайт запрашивает креды хотя бы один раз, то значит, аутентификация по тикету Kerberos не работает.»

у нас все внутренние ресурсы запрашивают учетные записи пользователя в домене, а мой ресурс в домене в зоне DMZ, а мы работаем в другом домене.

Исправление DrBim, :

«А так - смотри настройки на винде и групповые политики. Может быть надо в Trusted sites сайт добавить. Браузер не посылает тикет Kerberos первому попавшемуся сайту»

Групповые политики - этим безопасники рулят. В ПН пойду к ним. В своем IE я уже пробовал добавлять свой ресурс в доверенные узлы интранета, для этого пришлось открывать его от своего имени доменного админа, и двукратного запроса учетных данных не происходило. И это действует только если браузер работает от админа, на непривилегированного пользователя уже не распространяется. Эту всю кухню я не знаю. Но ты верно предположил, что «доверенный узел» решает проблему! А вот если запускать другие браузеры от того же админа, то эта настройка не действует, все равно двукратный запрос приходит. По-моему, такое свойство «доверенные сайты» у всех браузеров отличаются от такого же у IE. К сожалению, теории куда ни зайдешь никто на рассказывает, везде только «делай так».Кстати, после первого удовлетворенного запроса на аутентификацию в логе ошибок апача пишется - unsupported authentification method (unknown чего-то, не помню точно).

«Если сайт запрашивает креды хотя бы один раз, то значит, аутентификация по тикету Kerberos не работает.»

у нас все внутренние ресурсы запрашивают учетные записи пользователя в домене, а мой ресурс в домене в зоне DMZ, а мы работаем в другом домене.

Исправление DrBim, :

«А так - смотри настройки на винде и групповые политики. Может быть надо в Trusted sites сайт добавить. Браузер не посылает тикет Kerberos первому попавшемуся сайту»

Групповые политики - этим безопасники рулят. В ПН пойду к ним. В своем IE я уже пробовал добавлять свой ресурс в доверенные узлы интранета, для этого пришлось открывать его от своего имени доменного админа, и двукратного запроса учетных данных не происходило. И это действует только если браузер работает от админа, на непривилегированного пользователя уже не распространяется. Эту всю кухню я не знаю. Но ты верно предположил, что «доверенный узел» решает проблему! А вот если запускать другие браузеры от того же админа, то эта настройка не действует, все равно двукратный запрос приходит. По-моему, такое свойство «доверенные сайты» у всех браузеров отличаются от такого же у IE. К сожалению, теории куда ни зайдешь никто на рассказывает, везде только «делай так».Кстати, после первого удовлетворенного запроса на аутентификацию в логе ошибок апача пишется - unsupported authentification method (unknown чего-то, не помню точно). Т.е. по всей видимости, первым делом браузер пробует метод NTLM, а уже повторно удовлетворяется керберосом.

«Если сайт запрашивает креды хотя бы один раз, то значит, аутентификация по тикету Kerberos не работает.»

у нас все внутренние ресурсы запрашивают учетные записи пользователя в домене, а мой ресурс в домене в зоне DMZ, а мы работаем в другом домене.

Исходная версия DrBim, :

«А так - смотри настройки на винде и групповые политики. Может быть надо в Trusted sites сайт добавить. Браузер не посылает тикет Kerberos первому попавшемуся сайту»

Групповые политики - этим безопасники рулят. В ПН пойду к ним. В своем IE я уже пробовал добавлять свой ресурс в доверенные узлы интранета, для этого пришлось открывать его от своего имени доменного админа, и двукратного запроса учетных данных не происходило. И это действует только если браузер работает от админа, на непривилегированного пользователя уже не распространяется. Эту всю кухню я не знаю. Но ты верно предположил, что «доверенный узел» решает проблему! А вот если запускать другие браузеры от того же админа, то эта настройка не действует, все равно двукратный запрос приходит. По-моему, такое свойство «доверенные сайты» у всех браузеров отличаются от такого же у IE. К сожалению, теории куда ни зайдешь никто на рассказывает, везде только «делай так».

«Если сайт запрашивает креды хотя бы один раз, то значит, аутентификация по тикету Kerberos не работает.»

у нас все внутренние ресурсы запрашивают учетные записи пользователя в домене, а мой ресурс в домене в зоне DMZ, а мы работаем в другом домене.