如何让 MD5/digest 身份验证适用于不同的域？ [关闭]

Posted 2023-02-24

【中文标题】如何让 MD5/digest 身份验证适用于不同的域？ [关闭]

【英文标题】：How can I get MD5/digest authentication working for a different domain? [closed]

【发布时间】：2012-09-13 17:31:47

【问题描述】：

我被要求在域 B 的服务器上设置一个 SharePoint 站点（在 2008 R2 的 IIS7 下运行），以便域 A 中的人可以使用 MD5/Digest 身份验证通过 HTTP 登录到它。存在信任关系，因此 B 信任 A，这适用于 Kerberos 身份验证。我们已经为密码设置了可逆加密，并检查了域 B 用户可以使用 Digest 登录，但是我们无法获取它以便域 A 用户（与 SharePoint 服务器不在同一域中）可以使用 MD5/Digest 登录通过http。我们还与 WireShark 确认了浏览器的行为是否正常（这是 Server 2008 R2 附带的 IE 版本 - 我认为是 IE7，但我没有记录下来）。

能否请您告诉我如何正确设置它，或者提供一个指向 Microsoft 或其他合理权威的文档的链接，该文档说这无法完成？

（顺便说一下，我们使用的是 SharePoint Foundation（免费版））

我正在编辑一些更新的信息，以防其他人点击它，因为我希望有任何进一步的建议可以添加到这里，而不是复制它。

1) 我在两台服务器上设置了 SharePoint，然后更改了其中一台服务器的域，将应用程序池用户保留在原始域中。经过一番折腾（从原始域添加 DNS 后缀，摆弄 AAM），我发现我可以在两台服务器中使用摘要进行身份验证，对与服务器相同域中的用户进行身份验证 - 我不确定这是否是推荐的配置但我认为这是一个有趣的实验。所以这看起来像是 Windows 功能，而不是 SharePoint 功能。

2) 猜测，我更改了搜索词并在http://technet.microsoft.com/en-us/library/cc778868%28v=ws.10%29.aspx 找到“Web 服务器必须与用户帐户属于同一林的成员。”我认为我的设置对应于不同的森林，所以这看起来很像“这种行为是设计使然”的窗口功能。

【参考方案1】：

您是否尝试过以下适用于 SP2010 的 cmd 命令： stsadm -o setproperty -pn "peoplepicker -searchforests" -pv "forest:[currentDomainName],[Username],[Password];domain:[newTrustedDomainName],[Username],[Password]" -url "[YourSiteUrl]" 如果需要，请确保您有备用访问映射。

一般来说受信任的域应该不是问题，但是我不确定 MD5...

【讨论】：

我已经尝试过它的变体，并在网上搜索了这个参数。我可以设置参数并再次读出它 - 通过设置这个和使用双向信任的组合 - 我可以让其他域上的用户对 SharePoint Central Admin Farm Administrator GUI 中的 peoplepicker 可见，但用户在其他域仍然无法使用 MD5/Digest 登录。通过将 SharePoint 机器从一个域转移到另一个域，我可以检查它是否是域不匹配。 FWIW 当他们尝试以 DOMAIN\username 身份登录时，安全日志中的 WDIGEST 身份验证失败。