401 - Не авторизован в IE7 только с аутентификацией Windows.

Question

Я создал сайт интрасети, который использует проверку подлинности Windows

В Chrome я могу получить доступ к сайту мгновенно, а в FF требуется логин Active Directory. Но с IE7 я получаю следующую ошибку:

401 - Несанкционировано: доступ запрещен из-за неверных учетных данных. У вас нет разрешения на просмотр этого каталога или страницы с использованием предоставленных вами учетных данных.

Я не уверен, почему это нормально в других браузерах, но не в IE? Любая помощь приветствуется.

Спасибо

Answer 1

Решение:

IE использует Kerberos и не использует NTLM, например, Chrome и Firefox. Вы должны принудительно выполнить проверку подлинности NTLM в IIS7.5, выполнив следующие действия:

1. Выберите свой сайт.
2. Двойной клик аутентификации.
3. Выберите «Аутентификация Windows» (убедитесь, что она включена).
4. Нажмите «Поставщики ...» в правом столбце.
5. Выберите NTLM и нажмите «Переместить вверх».

Ссылка: Проверка подлинности Windows не работает в ie7

Answer 2

начните с поиска здесь и получения более подробного описания ошибки. У меня были некоторые сумасшедшие проблемы с CRM, и все сводилось к порядку настроек в IIS, ответ на проблему оказался таким же простым, как; вдаваясь в IIS, а затем настройки аутентификации нажав на аутентификацию Windows и выбрав расширенный убедитесь, что режим ядра включен нажмите на провайдера и убедитесь, что переговоры выше NTLM.

Answer 3

Похоже, что ваша среда не настроена должным образом для аутентификации Kerberos. Есть много вещей, которые могут вызвать сбой аутентификации Kerberos. Например. Перекос часов на сервере или клиенте, отсутствие SPN на веб-сервере и т. Д.

Обычно, когда вы настраиваете использование аутентификации Windows, вы просите использовать SPNEGO, что означает использование Kerberos, когда это возможно, и затем использовать NTLM в случае сбоя Kerberos. Тем не менее, этот пост указал, что это больше не так. IE7 останавливается на Kerberos в некоторых случаях, но не возвращается к NTLM.

Вы можете попытаться отключить «Включить встроенную аутентификацию Windows», как предложено post . Это выглядит странно, но на самом деле просто выключает SPNEGO, вы все равно будете использовать NTLM.

Я думаю, что Firefox и Chrome работают, потому что они используют NTLM, но не Kerberos. Судя по моему опыту, браузер не от Microsoft не делает Kerberos «из коробки». Вам нужно сделать некоторые настройки, чтобы это произошло. Например, в FireFox вам нужно установить параметр network.negotiate-auth.trusted-uris. Смотри здесь

Как только вы подтвердите, что NTLM для IE7 все еще работает нормально. Затем вы можете опубликовать еще один вопрос, чтобы узнать, как решить проблему проверки подлинности Kerberos для IIS.

Answer 4

Я не знаком с IIS, но за последние несколько недель у меня был большой практический опыт интеграции входа в AD в веб-приложения. Это вполне логично - каждый продукт Microsoft будет лучше интегрирован с другим, и Internet Explorer (должен быть действителен для всех версий, а не только для 7) автоматически передает ваши учетные данные для входа в AD, если вы используете Active Directory в качестве метода проверки подлинности для входа в Windows. .

Любой другой браузер либо должен быть настроен для этого, попросить вас ввести их вручную или не будет поддерживать его вообще. Это объясняет, почему Firefox запрашивает у вас имя пользователя и пароль. Под Opera вы, скорее всего, получите то же сообщение об ошибке.

Я предполагаю, что Chrome является вашим браузером по умолчанию, и в какой-то момент вы набрали свои учетные данные для входа в систему, и этот сеанс все еще активен.

Все это будет означать (если мои предположения верны), что вам нужно использовать другую учетную запись AD для входа в это приложение, чем Windows, и последняя (автоматически передаваемая IE) не авторизована.