Мы внедряем SharePoint в среде с несколькими отдельными лесами доменов, которые будут использоваться для аутентификации пользователей с использованием аутентификации на основе утверждений.Различные домены имеют одностороннее доверие к одному домену, который будет действовать как «корень» для всех запросов на аутентификацию.Мы проверили доверие, и оно работает, и наша конфигурация аутентификации на основе утверждений также работает, однако при входе в SharePoint с использованием аутентификации с помощью форм мы можем аутентифицировать только тех пользователей, которые явно существуют в этом корневом домене .Любые пользователи доверенного домена не проходят проверку подлинности и не перечисляют при использовании метода GetAllUsers () поставщика членства Active Directory.
Мы максимально сократили конфигурацию до следующего:
Строка подключения:
<add name="ADConnString" connectionString="LDAP://therootdomain.org" />
Поставщик членства:
<add name="ADProvider"
enableSearchMethods="true"
type="System.Web.Security.ActiveDirectoryMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
connectionStringName="ADConnString"
attributeMapUsername="UserPrincipalName"
connectionUsername="svcact"
connectionPassword="svcpwd" />
Поскольку это настроено сейчас, мы можем аутентифицировать пользователей на основе форм, используя соглашение username@domain.tld, нотолько если они существуют в корневом домене в доверенном «дереве».Любые пользователи из других доменов не проходят проверку подлинности.Я думаю, что стоит упомянуть, что если мы перейдем на NTLM, все пользователи из всех доверенных доменов смогут проходить аутентификацию;таким образом, мы определенно знаем, что доверие работает.
Я, конечно, искал в Интернете, и я продолжаю находить противоречивую информацию.В некоторых местах я читал, что одностороннее доверие должно «просто работать» и что не требуется никакой специальной настройки, и в моем сценарии не должно быть никаких проблем.В других местах у меня создается впечатление, что ActiveDirectoryMembershipProvider не способен проходить через доверительные отношения домена, и единственный способ сделать это - написать поставщика клиента, который проходит через несколько отдельных поставщиков - но мне трудно принять это, поскольку наш сценарий не позволяеткажется странным; должен поддерживаться ... верно?
Итак, мой основной вопрос: Может ли поставщик членства в Active Directory пройти через домен, чтобы аутентифицировать пользователей , и если да, точто еще нужно настроить, чтобы это произошло?
Заранее спасибо!