如果使用Kerberos保护IIS托管站点，Linux机器能够连接到它吗？

Question

在使用Kerberos的测试环境中，我在配置IIS7.0网站时遇到了问题。我有一个Windows 2008 R2的试用版，安装了AD、AD、DHCP、DNS和IIS角色。我已经进入了该站点的IIS安全设置，并设置了Windows身份验证以允许Kerberos登录。

我遇到的问题是，它没有常规地使用Kerberos作为安全协议。当我将IIS中的提供程序设置为“协商”时，Fiddler2表示报头将返回NTLM报头50%的时间，而Kerberos报头则返回50%的时间。如果我将提供程序设置为IIS中的“the :Kerberos”，则根本无法访问该站点，因为它会立即报告401错误。此外，任何使用Linux机器在任何配置中连接到站点的尝试都会立即指向401安全错误。

有人能提供一些见解或指导如何配置这一点吗？除了启用Kerberos之外，我还特别需要阻止对NTLM的任何回退，而不管我连接到哪台机器。到目前为止，我还没有找到任何能够完全解决这个问题的technet或服务器错误文章。

Answer 1

在Firefox中，您需要将其设置为使用Kerberos，在大约:配置、网络和网络下使用Kerberos。

对于铬/铬，试试铬浏览器-服务器-白名单=“company.com”。

Answer 2

如果要设置Linux服务/应用程序以对IIS服务端点进行身份验证，则可以获得Linux框以对IIS托管的windows站点进行身份验证，如下所示：

1. 确保您的IIS站点windows身份验证提供者按Windows：的顺序设置
   • NTLM
   • 谈判

2. 为要进行身份验证的帐户创建一个主体：
   • 使用kerberos工具(通常是AD服务器)登录到域中的windows服务器
   • 根据您想要验证的帐户注册一个服务主体名称(SPN)，同时生成一个Kerberos文件：
     • 使用ktpass为Linux生成keytab
     • ktpass -princ HTTP/myiis.site.com@SITE.COM -ptype KRB5_NT_PRINCIPAL -mapuser myuser -pass mypassword -out c:\user.keytab
     • 注意:重要的是，url myiis.site.com与您将要命中的端点匹配；SITE.COM与您的域-分量匹配。

- You can check your SPN with `setspn -L myuser`
- At this point you now have an SPN mapped to an AD user; and a Kerberos keytab file for Linux to get a kerberos ticket issued by the KDC (AD Server) for authentication using the Negotiate provider.

1. 根据Kerberos的风格，将keytab导入linux盒/应用程序。在keytab：中查看凭据
   • 麻省理工学院 Kerberos
     • klist -c -k user.keytab

- [Heimdal](http://www.h5l.org/manual/HEAD/info/heimdal/keytabs.html) Kerberos (assuming you copied the keytab to `/etc/heimdal/krb5.keytab` 
    - `ktutil list`