SharePoint (WSS)跨多域认证

Question

首先，介绍一下背景:我们有一个基于WSS3.0的intranet站点，它托管在DOMAIN_A.LOCAL的服务器上，并设置为使用集成Windows身份验证来根据DOMAIN_A.LOCAL.的Active Directory用户帐户对用户进行身份验证

对于使用DOMAIN_A.LOCAL，的AD帐户登录到Windows的用户来说，此设置工作得很好，但是当用户试图从使用来自不同域的AD帐户登录到Windows的PC访问站点时(即DOMAIN_B.LOCAL) )，会出现以下问题：

1. 用户必须以DOMAIN_A\UserName身份手动输入凭据，而不仅仅是UserName，否则Internet会自动插入DOMAIN_B并导致身份验证失败。
2. 登录后，如果用户做了一些要求浏览器将身份验证传递给客户端应用程序的操作，例如单击文档库中的Microsoft文档以进行编辑，则无效凭据(想必是DOMAIN_B)似乎会自动传递，从而迫使用户再次手动输入其DOMAIN_A凭据。

我的问题是：

是否有任何方法在使用集成Windows身份验证时实现“默认域”类型(正如使用基本明文身份验证时所做的那样)，以便如果DOMAIN_B上的用户没有在其用户名之前输入域，则会自动为其插入DOMAIN_A？

当然，我意识到这个部署可能有致命的缺陷，所以我也愿意接受关于不同实现的建议。

总之，主要问题源于两种不同类型的用户需要在一个SharePoint站点上访问相同的内容。DOMAIN_A中的用户都有自己的全职工作站，作为自己登录到Windows。不幸的是，DOMAIN_B的用户不得不使用共享计算机登录，这些计算机使用的是通用的"kiosk“类型帐户，这些帐户在SharePoint中没有权限--因此，DOMAIN_B用户在访问SharePoint中的给定页面时必须根据需要提供凭据。我希望为DOMAIN_A的“静态”用户保留集成Windows身份验证的方便，同时尽量减少DOMAIN_B中的"kiosk“用户必须忍受的手动身份验证量。

Answer 1

DOMAIN_A.LOCAL必须信任DOMAIN_B.LOCAL，否则来自DOMAIN_B.LOCAL的用户将收到凭据提示，因为他们的DOMAIN_B.LOCAL帐户在DOMAIN_A.LOCAL中是未知的。

考虑到DOMAIN_B.LOCAL是为kisok用户准备的，您可能不想信任这个域。

您需要将web应用程序扩展到一个新的区域，或者实现基于表单的身份验证，或者将Windows身份验证与反向代理(例如ISA服务器)一起使用。

Answer 2

我在互联网上搜索具有多个域的SharePoint用户帐户，发现了一个有趣的工具，名为Microsoft前端标识管理器。你听说过吗？

所以…如果您使用多林部署，其中用户帐户分布在两个或多个林之间。当两个组织合并并需要访问两个组织的域时，经常会出现这种情况。您可以在用户对象中使用可分辨名称(ms-ds-Source- object -DN)属性来创建用户帐户之间的关联。在该协会中，一个帐户被认为是主帐户，其他帐户被认为是主帐户的备用帐户。有一个名为Microsoft前端标识管理器的工具可以在用户帐户对象之间创建这种关系。Microsoft前端标识管理器的一个特性是，SharePoint服务器可以维护识别配置文件的备用帐户列表。当您使用任何一个帐户查找用户的配置文件时，SharePoint服务器将返回主帐户配置文件示例(域\用户名)。

Answer 3

可能不是您想要听到的，但是您可能希望使用基于表单的身份验证。