Configuración de la autenticación Kerberos en el sitio web de IIS

por | Jun 25, 2021 | Tips

Aquí hay una guía paso a paso sobre cómo configurar la autenticación de usuario de dominio Kerberos SSO (inicio de sesión único) transparente en el sitio web de IIS que ejecuta Windows Server 2012 R2.

Inicie IIS Manager en su servidor web, seleccione el sitio web necesario y vaya al Autenticación sección. Como puede ver, solo Autenticación anónima está habilitado de forma predeterminada. Deshabilítelo y habilítelo Autenticación de Windows (En primer lugar, IIS siempre intenta realizar una autenticación anónima).

Abra la lista de proveedores, disponible para la autenticación de Windows (Proveedores). De forma predeterminada, hay dos proveedores disponibles: Negociar y NTLM. Negotiate es un contenedor que usa Kerberos como el primer método de autenticación, y si la autenticación falla, se usa NTLM. Se requiere que Negociar ocupa el primer lugar en la lista de proveedores.

Proveedores de IIS Negotiate (Kerberos)

El siguiente paso incluye el registro de Nombre principal del servicio (SPN) entradas para el nombre del sitio web, al que accederán los usuarios. Si el sitio web de IIS debe estar disponible solo por el nombre del servidor en el que se encuentra (http: // nombre-servidor o http: //nombre-servidor.adatum.loc), no necesita crear entradas SPN adicionales (las entradas SPN ya existen en la cuenta del servidor en AD). Si la dirección del sitio web difiere del nombre del host o si está creando una granja web con equilibrio de carga, tendrá que conectar entradas SPN adicionales a un servidor o cuenta de usuario.

Supongamos que tenemos una granja de servidores IIS. En este caso, es mejor crear una cuenta de AD separada y vincularle las entradas de SPN. El grupo de aplicaciones de destino de nuestro sitio web se iniciará desde esta cuenta.

Crea una cuenta de dominio iis_service. Asegúrese de que las entradas SPN no estén asignadas para este objeto (el atributo servicePrincipalName está vacío).

atributo servicePrincipalName

Supongamos que el sitio web tiene que responder a http: // portal web y http: //webportal.adatum.loc. Tenemos que especificar estas direcciones en el atributo SPN de la cuenta de servicio.

Setspn /s HTTP/webportal adatumiis_service
Setspn /s HTTP/webportal.adatum.loc adatumiis_service

Setspn

Por lo tanto, permitimos que esta cuenta descifre los tickets de Kerberos, cuando los usuarios acceden a estas direcciones, y autentique sesiones.

Puede verificar la configuración de SPN de la cuenta de esta manera:

setspn /l iis_service

comprobar los registros de spn

Consejo. Kerberos no funcionará correctamente si diferentes entradas de dominio utilizan los mismos SPN. Con el siguiente comando, asegúrese de que no haya SPN duplicados en el dominio: setspn –x

El siguiente paso es la configuración del grupo de aplicaciones de IIS para iniciarlo desde la cuenta creada anteriormente.

Seleccione el grupo de aplicaciones de su sitio web (en nuestro ejemplo, es DefaultAppPool).

DefaultAppPool

Abre el Ajustes avanzados y ve al Identidad.

Identidad del grupo de aplicaciones

Cambiarlo de ApplicationPoolIdentity a adatum iis_service.

cambiar la identidad del grupo de aplicaciones

Luego vaya a su sitio web en IIS Manager y seleccione Editor de configuración.

En el menú desplegable, seleccione system.webServer> seguridad> autenticación> windowsAuthentication

useAppPoolCredentials

Cambio useAppPoolCredentials a Cierto.

Por lo tanto, permitimos que IIS use la cuenta de dominio para descifrar los tickets Kerberos de los clientes.

Restablezca IIS usando este comando:

iisreset

iisreset

Lo mismo debe configurarse en todos los servidores de la granja de servidores web.

Probemos la autenticación Kerberos. Para hacerlo, abra http: //webportal.adatum.loc en el navegador del cliente.

Nota. En mi caso, no pude autenticarme a la vez en IE11. Tuve que agregar la dirección a la lista de sitios web confiables y especificar Inicio de sesión automático con nombre de usuario y contraseña actuales en Autenticación de usuario -> Inicio de sesión en la configuración de Sitios de zonas de confianza.ie11 Inicio de sesión automático con nombre de usuario y contraseña actuales

Puede asegurarse de que se utilice la autenticación Kerberos en su sitio web mediante la supervisión del tráfico HTTP mediante Fiddler (mencionamos esta herramienta anteriormente).

Inicie Fiddler y abra el sitio web de destino en el navegador. En la parte izquierda de la ventana, busque la línea de acceso al sitio web. Vaya a la pestaña Inspectores en la parte derecha de la ventana. La línea "El encabezado de autorización (negociar) parece contener un ticket de Kerberos”Muestra que se ha utilizado Kerberos para autenticarse en el sitio web de IIS.

Fiddler: el encabezado de autorización (negociar) parece contener un ticket de Kerberos

Recomendado para ti

Bestseller No. 1
Wscoficey 35 Teclas de Teclado una Mano, Teclado de Juego retroiluminado RGB, Mini portátil Juego Controlador con reposamuñecas, diseño ergonómico Compatible con PC/Mac / PS4 / Xbox (Negro)
Wscoficey 35 Teclas de Teclado una Mano, Teclado de Juego retroiluminado RGB, Mini portátil Juego Controlador con reposamuñecas, diseño ergonómico Compatible con PC/Mac / PS4 / Xbox (Negro)
  • Este teclado profesional de 35 teclas con una sola mano con control avanzado programable te hace sentir más cómodo y crea tu propio teclado especial
  • Mini portátil de 35 teclas, diseño mini que ofrece una experiencia de funcionamiento con una sola mano extremadamente simple
  • Adecuado para tus manos y muñeca, simplifica el complejo procedimiento operativo, vence al rival más rápido en los juegos
  • Teclado compatible con MAC, Win 2000, Win XP, Win ME, Vista, Win7, Win8, Android, Linux y más
  • Brillante: retroiluminación LED, más fresco por la noche
29,99 EUR
Ver en Amazon
RebajasBestseller No. 2
Pack Gaming Wolf | PC Gaming (AMD Ryzen 5 5500 / 16GB / 500GB SSD M.2 + 1TB / RTX3060 / 27' Curvo + Kit Gaming / WIFI) Windows 11 Pro, Monitor Curvo 27', Teclado, Cascos, Ratón y Alfombrilla XXL
Pack Gaming Wolf | PC Gaming (AMD Ryzen 5 5500 / 16GB / 500GB SSD M.2 + 1TB / RTX3060 / 27" Curvo + Kit Gaming / WIFI) Windows 11 Pro, Monitor Curvo 27", Teclado, Cascos, Ratón y Alfombrilla XXL
  • Bajo la tapa de esta llamativa caja RGB está el procesador AMD Ryzen 5 5500 tiene una frecuencia de reloj de alto rendimiento de 3,6 GHz y en combinación con la NVIDIA RTX 3060 con 12 GB de VRAM, DLSS y trazado de rayos, ofrece una experiencia gráfica de ensueño que hará que tu corazón se acelere.
  • Gracias a los 16 GB de RAM a 3200 MHz y a la unidad SSD M.2 de 500GB, disfrutarás de los tiempos de carga más cortos y estarás siempre un paso por delante de tus rivales. Para una máxima comodidad, hemos preinstalado Windows 10 Pro en tu PCVIP y también hemos instalado una tarjeta WiFi. Sólo tienes que enchufar el PC, encenderlo y la diversión puede empezar de inmediato.
  • Vas a convertirte en el mejor jugador en un tiempo récord gracias a la mejor configuración de ordenador gaming. No hay límites con nuestro innovador PC Gaming. Mejora tu experiencia de juego con el impresionante rendimiento del hardware de los PC Gaming de Ibericavip
  • Rendimiento de primera clase gracias a la NVIDIA RTX 3060 con 12 GB de VRAM y ray tracing. Además, incluimos un monitor LED Full HD de 27 pulgadas, un teclado gaming RGB y un ratón gaming RGB con la mejor alfombrilla XXL
  • Pantalla: Monitor Gaming Curvo 27" 165 Hz Full HD G-Sync Free Sync Compatible
1.099,99 EUR
Ver en Amazon
Bestseller No. 3
APC Back UPS BX - BX2200MI-GR - Fuente de alimentación sin interrupciones 2200 VA con salidas Schuko, protección de batería y protección contra subidas de tensión
APC Back UPS BX - BX2200MI-GR - Fuente de alimentación sin interrupciones 2200 VA con salidas Schuko, protección de batería y protección contra subidas de tensión
  • Potencia de salida máxima: 2200 VA / 1200 W
  • 4 Salidas tipo "Schuko" con protección contra sobretensiones
  • La regulación automática de tensión (AVR) protege los dispositivos conectados estabilizando los niveles de tensión entrantes
  • SAI ideal para dispositivos domésticos y de oficina en casa; Módem y router, teléfono inteligente, ordenador, almacenamiento conectado a la red
  • Incluye: APC Back-UPS BX, Manual de instrucciones
299,00 EUR
Ver en Amazon

Artículos relacionados: