无法针对 ADAM 对 SharePoint Extranet 站点进行身份验证

Posted 2023-02-16

【中文标题】无法针对 ADAM 对 SharePoint Extranet 站点进行身份验证

【英文标题】：Unable to Authenticate SharePoint Extranet Site against ADAM

【发布时间】：2009-07-02 20:51:07

【问题描述】：

项目背景： 我正在建立一个小型农场，其中 Intranet 是它自己的应用程序。遵循最小特权帐户设置原则，我为每个进程/应用程序创建了域用户帐户。水池。服务身份验证在 Kerberos 上运行良好。

其中一个项目需要有另一个 Web 应用程序（独立于 Intranet）通过 Internet 向客户公开。为了保持 AD 结构独立，我们决定使用 ADAM。该应用程序。池帐户是独立的，也使用 Kerberos。在 https://blogs.pointbridge.com/Blogs/morse_matt/Pages/Post.aspx?_ID=2 之后，我扩展了我的原始应用程序并将其配置为一个 Extranet 区域，如文章中所述，分配一个 LDAPMembership 提供程序。

两难境地 虽然人员选择器工作并允许我从 AD 和 ADAM 数据存储中指定集合管理员、站点所有者、成员等，但我无法登录我的用户。我经常收到 用户无法通过身份验证 错误。并且非常好，LOG 不会产生与目录查找相关的错误。似乎从未命中 ADAM 数据存储。

根据 MS 文章，我自己的想法是，因为我不使用 NTLM，爬虫永远不会到达 Extranet 区域。然而，如果我们都知道 Kerberos 优于 NTLM，我应该如何保护应用程序。

任何想法都将不胜感激。

注意：SPN 已正确设置，权限已按要求分配，ADAM 用户已禁用设置为 false，app.池帐户列在 ADAM 内的 Readers 角色容器中

谢谢， 杰克

【问题讨论】：

虽然我想帮助你，这属于服务器故障

P.S.我不知道答案，但您可以在这里找到更多关于 SharePoint 和 kerberos 的信息：harbar.net

【参考方案1】：

您可以检查的一件事是网络端口的开放情况。我假设您的 Web 服务器和 LDAP 服务器位于不同的网段。

想法是 LDAP 端口和 SSL 端口是不同的。如果人员选择器使用 LDAP 端口而登录使用 SSL 端口，那么这可以解释为什么一个工作而另一个不工作，以及为什么呼叫没有到达 LDAP 服务器。