タグ付けされた質問 「windows-authentication」

4
IIS 7.5:Windows認証でカスタム認証エラーページを構成する方法。401ヘッダーの問題
IIS 7.5で実行されているphp Webサイトがあります。サイトはWindows認証によって保護されており、正常に機能します。 ユーザーがサイトにアクセスすると、ユーザー名/パスワードの入力を求められ、認証された場合は通過します。ユーザーが[キャンセル]をクリックするか、パスワードを3回誤入力すると、401エラーページが表示されます。 次に、ログイン方法を説明するカスタムページを表示したいと思います。だから私はエラーページに行き、ステータスコード401.2を選択して、表示したいページを指し示します: 次に、すべてのユーザーに対してカスタムエラーがオンになっていることを確認します。そしてカーブーム!認証は機能しなくなり、ユーザーにはパスワードプロンプトが表示されません。文書によると、Windows認証は最初に401応答を送信することで機能し、次にブラウザーはユーザーにプロバイダーの資格情報を要求し、次に何をするかを決定します。 ここで何が起こるか:IISがページの最初のリクエストで401ヘッダーを送信しようとしますが、web.configが「401でこのページにリダイレクトする」と言うことに気付きます。そして、認証の代わりに、リダイレクトページを提供するだけです。 401、401.1、401.2を交換しようとしましたが、違いはありませんでした。 私は何を間違えていますか?ユーザー認証エラーでカスタムページを表示する方法は? ps web.configは次のとおりです。 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <httpErrors errorMode="Custom"> <remove statusCode="500" subStatusCode="-1" /> <remove statusCode="404" subStatusCode="-1" /> <remove statusCode="401" subStatusCode="-1" /> <error statusCode="401" subStatusCode="2" prefixLanguageFilePath="" path="/not_restricted/401.htm" responseMode="ExecuteURL" /> <error statusCode="404" prefixLanguageFilePath="" path="/not_restricted/404.htm" responseMode="ExecuteURL" /> </httpErrors> <httpProtocol> <customHeaders> <remove name="X-Powered-By" /> </customHeaders> …

3
このWindows共有を取得して、ログインを促す方法を教えてください。
または:「これは問題ですか?それが問題だった場合、どのように確認しますか?」 ドメインコントローラーのない環境で、サーバー上の一致するユーザーアカウントのないリモートコンピューターから Windows Server 2008 R2ボックスの共有にアクセスするとき(および\\SERVERNAME\ShareName[スタート]メニューから入力して接続する)、現在次の動作を観察します[パスワードで保護された共有]設定(詳細な共有設定): 「パスワード保護共有」がオンになっている場合、試行されたすべての接続は、最大30秒後に失敗します。 ログオンの失敗:ユーザーは、このコンピューターで要求されたログオンの種類を許可されていません。 [パスワードで保護された共有]をオフにすると、匿名アクセス可能な共有への接続が許可されますが、アクセス許可が制限された共有は次のように失敗します。 \ SERVERNAME \ ShareNameにアクセスする権限がありません。ネットワーク管理者に連絡して、アクセスをリクエストしてください。 これは予想される動作のようです。匿名ログオンで特定の共有にアクセスできるようにする必要があるため、この設定をデフォルトからoffに変更する必要がありました。 ただし、ここには3番目のケースがあります。(なぁ?) あなたが共有に接続しようとした場合、この設定を変更せずに(つまり、それが設定されているのが、あなたはそれをクリックしたことがありません)、接続は次のように振る舞うのそれはショーに30秒までかかるという点で上記の場合応答ですが、認証ダイアログが表示されます: 数日間壁に頭をぶつけた後、この予感があり、既存の共有のないサーバーでこれを複製しました:非読み取り共有を作成し、接続してダイアログを取得しようとし、設定を変更し、正常に接続し、設定を変更します戻ると、別のエラーメッセージが表示されます。(これらすべてを新しいクライアントシステムでテストしたため、キャッシュのリスクはありませんでした。) 繰り返しになりますが、クライアントシステムを管理しています。これは完全にサーバー関連のようです。 そのため、「パスワードで保護された共有」設定を変更すると、舞台裏で複数の変更(レジストリキー?私はMacネイティブ)が変更され、システムに同梱されているデフォルト設定はすべて一致しません設定がコントロールパネルに反映されます(またはコントロールパネル自体が破損しているため、さらに変更する必要があります)。 質問は、これは仕様によるものですか、それともバグですか?そして、どちらの場合でも、変更または変更されていない「隠し設定」とは何ですか?それをどのように追跡しますか?テストするために新しいサーバーが不足しています。:-(

2
RDPが保存された資格情報を受け入れず、毎回手動で入力するのはなぜですか?
RDP経由で(Windows Server 2012 R2を実行している)Amazon EC2インスタンスにログインしようとしています。それは機能し、接続できますが、機能した資格情報を保存したため、その後のログインでは受け入れられないようで、常に拒否され、パスワードの部分を手動で再入力する必要があります。 機能しなかった理由は何もありません。機能しなかっただけです。「資格情報が機能しませんでした」と「ログオンに失敗しました」。次に、いつもと同じパスワードを入力すると機能します。 資格情報は実際には資格情報マネージャーに保存され、ログオンしようとすると常に正しい名前が入力されることがわかります。また、このダイアログが表示される前に、保存された資格情報を1秒間試行することも確認できます。 答えを探し回った後、IPアドレスとFQDNの使用、グループポリシーエディターでの実行(「保存された資格情報のNTLMのみのサーバー認証による委任の許可」)、および異常に見えるものに対するリモート側のグループポリシー。サイコロはありません。 保存した資格情報を受け入れ、毎回プロンプトを表示しないようにするにはどうすればよいですか?


2
Windows Server 2012でICACLSを使用してグループ権限を割り当てることができない
権限を追加するためにicaclsでグループを受け入れることができません。次のコマンドで昇格した電源シェルを使用しています。 icacls 'C:/foo' /grant:r 'Group Foo':f 次のエラーが発生します。 Invalid parameter "Group Foo" 私もSUIDを使用してみましたが、それも失敗します。「Domain \ Group Foo」も試しました グループが使用できるようにしようとしているファイルがたくさんあります。Windows Server 2012で大量のアクセス許可を追加する適切な方法は何ですか? -編集- E:\> icacls "E:/Contact Numbers.xlsx" /grant:r "Users":f Invalid parameter "Users"

3
完全修飾URLを使用したローカルサーバー上のIISへのWindows認証
Windows認証で構成されたIIS 7でWebアプリケーションをセットアップしました。他のマシンからの完全修飾URLを介してマシンを認証でき、適切なドメインを使用します。ただし、完全修飾ドメインを介して(別のサービスで、またはIEのURLを介して)自分自身からマシンに接続しようとすると、Windowsログインプロンプトは、コンピューターをドメインとしてではなくドメインとして使用することを強制しようとします。ログイン用の適切なドメイン。ドメインを指定しようとして失敗するdomain\usernameか、username@domain.com失敗します。 localhostマシン上でのWebアプリケーションの表示は機能しsite.company.com/webserviceますが、ログインドメインが間違っているため、完全なスタイルのURL を使用してもローカルマシンでは機能しません。適切なログインドメインを使用するにはどうすればよいですか?

2
Kerberos委任のリスク
IIS 7.5では、Windows認証、Kerberos、SPN、および制約付き委任について学び、理解するために何時間も費やしてきました。管理者やCEOなどに対して委任を有効(つまり、デリケートなアカウントの委任を無効にしない)のままにしておくのが「危険」である理由がわかりません。誰かに簡単に説明してもらえますか?イントラネット環境に関してあなたの答えを組み立ててください。 たとえば、委任によってフロントエンドWebサーバーが他のサーバーと通信するときに、Windows認証されたユーザーに代わって動作することを許可するだけなので、これは問題にならないはずです。その人がアクセス権を持っている場合、彼らはアクセス権を持っていますが、なぜこれが問題になるのか理解できません。 私の無知を許してください。私は主に開発者ですが、私の会社は最近非常に無駄のない状態で運営されており、サーバー管理者の帽子も着用せざるを得ません...

2
VPNを使用すると、Windows認証が異常な動作をする
Windows認証に依存するアプリがいくつかあります。AD認証がオンになっているいくつかのWebアプリで、通常はWindows認証でSQLサーバーに接続します。これは通常、問題なく実行されます。ただし、クライアントサイトにVPNで接続している場合は、うまく機能しません。 SSMS 通常、スタートメニューからSSMSを開き、通常はWindows認証を受け入れるサーバーを選択すると、次のようなメッセージが表示されます。 ログインに失敗しました。ログインは信頼されていないドメインからのものであり、Windows認証では使用できません。(.Net SqlClientデータプロバイダー) コマンドプロンプトにドロップして、runas /user:domain\userSSMSを起動するために使用すると、そのssmsプロセスを使用して、SQLサーバーインスタンスに対するWindows認証を正常に実行できます。 タスクマネージャーで確認すると、ssms.exe(スタートメニューとrunas)の両方のコピーに同じユーザーが含まれており、procexpのプロセス間に識別可能な違いはありません。 AD Auth Webサイト IEを開いて、認証されたWindowsユーザーを必要とするWebサイトのいずれかを参照すると、「あなたは誰ですか」というプロンプトが表示され、そのダイアログでは、VPNユーザーが誰であるかを認識します。「別のアカウントを使用」をクリックして、その方法で認証できます。 見通し Outlookでさえ、VPNを使用しているときはユーザー名の入力を求められます。 Win7およびVistaマシンに影響を与えています。私たちにXPボックスがあったのは久しぶりですが、XPでこの問題が発生したことを思い出せません。 VPN接続は組み込みのWindows VPN接続を使用しているだけであり、豪華なCisco VPNやそのような性質のものではありません。 ドメイン内のリソースに対して認証するときに、VPNユーザーではなく通常の古いプライマリドメインユーザーになりたいとWindowsに伝える方法を知っている人はいますか?一体、クライアントのVPN上のリソースを必要とするWindows Authにアクセスしようとしていた場合、「あなたは誰ですか」と表示される解決策に満足しています。 ありがとう! これがスーパーユーザーの質問である場合は、申し訳ありませんが、どのサイトが最適かわかりませんでした。これはネットワーキングとインフラストラクチャに関するものであり、ここにいるすべての開発者を悩ませています。サーバー障害Qであることを願っています。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.