Sharepoint so zapnutým Kerberosom a FireFox

Publikoval Michal Kočí dňa 9.7.2009 o 01:33 v kategórii SharePoint

Pre Sharepoint sme zapli Kerberos a nastal problém s pripojením cez Firefox. Riešenie nebolo komplikované hneď ako som zistil (s pomocou Fiddlera), že FireFox naďalej nepoužíva Kerberos a snaží sa stále použiť NTLM.

Pretože WebPart, ktorý sme vyvíjali potreboval komunikovať s webovou službou na inom serveri a táto vyžadovala Windows autentifikáciu, bolo potrebné na SharePointe zapnúť Kerberos. Autentifikácia prostredníctvom NTLM totiž pri takomto scenári nefunguje, pretože server na ktorom beží SharePoint a ktorý síce správne autentifikuje užívateľa, nevie preposlať jeho credentials - toto je známe ako double hop problém.

Našťastie náš SharePoint beží pod Network Service účtom (netreba preto nastavovať SPN) a tak stačilo:

  1. Povoliť Kerberos v centrálnej administrácii SharePointu (záložka Application Management -> odkaz Authentication Providers). Toto vykoná zmeny priamo v IIS, ktoré si od tohto momentu bude žiadať na autentifikáciu NTLM aj Negotiate (Kerberos)
  2. Povoliť delegovanie serveru, na ktorom SharePoint beží - treba povoliť v Active Directory (na záložke Delegation).

Toto správne zafungovalo, avšak bežalo to správne iba z Internet Explorera. FireFox si však nie len že pýtal login a heslo na overenie ale naďalej používal NTLM. Riešenie je jednoduché a vykonáva sa v konfigurácii FireFoxu. Do jeho adresného riadku treba zadať about:config a prípadné upozornenie potvrdiť. Potom cez horný filter položiek nastavenia treba nájsť nasledovné dve nastavenia:

  • network.negotiate-auth.delegation-uris
  • network.negotiate-auth.trusted-uris

Obom treba nastaviť hodnoty na názov servera (bez protokolu, teda napríklad ak Váš SharePoint beží na URL http://spserver, nastavte hodnotu spserver), na ktorom Vám beží SharePoint. To zabezpečí, že serveru bude FireFox dôverovať a bude na autentifikáciu používať Negotiate (Kerberos) a navyše si od Vás ani nebude pýtať prihlasovacie údaje.

Súvisiace články:

Mohlo by ťa tiež zaujímať

Páčil sa ti príspevok?

Zdieľaj príspevok alebo si ho odlož na neskôr

Sleduj ma

Ak nechceš premeškať príspevky ako je tento, sleduj ma na Twitteri, alebo ak máš RSS čítačku, môžeš sledovať môj RSS kanál.

Komentáre

dňa 29.3.2024 o 06:49 - undefined

undefined

dňa 29.3.2024 o 06:49 - undefined

undefined

dňa 29.3.2024 o 06:49 - undefined

undefined

Pridať komentár

Máš niečo zaujímavé povedať k článku? Pridaj to k článku ako komentár. Spam, reklamu alebo inak nerelevantné komentáre okamžite mažem.