Утилита для проверки настроек сквозной аутентификации веб-продуктов
Проблема
При настройке сквозной аутентификации часто возникают проблемы. Большое количество настроек, необходимость сравнивать настройки в ручном режиме, недоступность информации напрямую и т.д., в общем много подводных камней. Полный список камней настроек можно найти в справке. На все это тратится огромное количество времени и сил.
Решение
Для того чтобы упростить работу по настройке было решено написать утилиту Negotiation Authentication Test (NАTest), которая бы в автоматическом режиме проверяла необходимые настройки.
Утилита должна проверять настройки с которыми чаще всего возникают проблемы - это настройка IIS, SPN, UAC и делегирования.
Реализация
При запуске утилита запрашивает имя сайта, для которого необходимо проверить настройки (требуется указать имя сайта которое задано в IIS). После чего производится проверка необходимых настроек.
Если все настроено верно, то результат будет примерно таким:
Если часть настроек выполнена неверно, то утилита укажет на них:
Как можно заметить после анализа утилита указывает на то, что необходимо проверить настройки проверки подлинности для сайта, добавить несколько SPN и настроить делегирование для пользователей\компьютеров.
Особенности
- Используется совместно с конфигуратором веб продуктов (проверки не перекрывают друг друга).
- Запускать утилиту необходимо на сервере где развернут сайт.
- Утилита должна запускаться под доменным пользователем.
Заключение
Надеюсь утилита будет полезной в работе и поможет сэкономить время при настройке сквозной аутентификации.
Ссылка на скачивание: NATest.zip
Почему не использовали PowerShell? Его возможностей более чем достаточно как для проверок настроек так и для их установки. А так же есть возможность модифицировать скрипт под себя если возникнет такая необходимость.
В принципе да, можно было использовать PowerShell. Изначально утилита возникла как вспомогательная для внутреннего использования и была написана на C#.
Чуть позже исходники выложу на внешний репозиторий компании, так что будет возможность при необходимости модифицировать утилиту под свои нужды.
Просто в PowerShell быстрее изменения внести чем у вас VS 2019 загрузиться :)
з.ы. спасибо за тулинг.
А тестировалась ли утилита, при настройке фермы веб-доступа?
Тестировалась ли для кластерных решений MS SQL?
Нет, не тестировалась.
Не уверен, но вроде большинство настроек должны быть аналогичны. Даже если чего то нет, утилиту можно использовать как дополнительный источник информации.
Собственно, отвечу на свой вопрос сам.
Если используются инсталляции сложнее, чем неименованный инстанс, то для корректных настроек SPN сервера MS SQL. Подчеркиваю, только сервера MS SQL, можно воспользоваться утилитой вендора СУБД.
Ссылка ниже.
Microsoft® Kerberos Configuration Manager for SQL Server
Скажите, пожалуйста, что может быть причиной ошибки .Имя сайта ввожу правильно (как указано в IIS)
Коллеги, можно помощи попросить? У меня Web сервер Directum 5 не работает как надо. IIS постоянно рвет сессию.
В логах IIS вот такая ошибка:
"10.01.2023 20:12:25 WAAPI Stop New application has been received. Time taken to receive: 529 ms. NpoComputer.WebAccess.API, 5.6.1.9012 SYSTEM
10.01.2023 20:12:25 WAAPI Error Incorrect username or password. at NpoComputer.WebAccess.API.Ports.Sbrte.SbLoginPoint.CreateApplication(String ConnectionString, CultureInfo Culture, SbrteAppplicationCreationFlags Flags) at NpoComputer.WebAccess.API.Ports.SbrtePort.CreateConnection(String UserLogin, String UserPassword, AuthenticationMethod Authentication, CultureInfo UserCulture, Context Context, TokenInfo ThreadToken, String ModuleName) NpoComputer.WebAccess.API, 5.6.1.9012 SYSTEM
10.01.2023 20:12:25 WAAPI Verbose Context of user 'З..... ........' destroyed. NpoComputer.WebAccess.API, 5.6.1.9012 AccountName "
Проверка сквозной аутентификации также вываливается с ошибкой. Буду благодарен за любую подсказку.
Захаров, вам лучше написать вашу проблему в раздел вопросов чтобы ее заметили. В комментариях к старому посту ваш вопрос просто не увидят
Авторизуйтесь, чтобы написать комментарий