#c# #asp.net-mvc-5 #active-directory #windows-authentication
#c# #asp.net-mvc-5 #active-directory #windows-аутентификация
Вопрос:
Я настроил веб-приложение MVC C # с аутентификацией Windows с использованием MS Visual Studio 2013 authentication mode =»Windows»
Это работает должным образом, когда пользователь находится в корпоративной сети (CN). Аутентификация происходит автоматически, плавно и полностью прозрачно, когда пользователь переходит в веб-приложение в IE или Chrome. Если пользователь использует Firefox, всплывающее окно запрашивает сетевые учетные данные пользователя, и это нормально … пока мне больше не нужно управлять именами пользователей и паролями. Кстати, всплывающее окно является неотъемлемой частью браузера, реагирующего на ответ веб-приложения, я не контролирую это.
Моя проблема возникает, когда пользователь пытается подключиться к веб-приложению из дома с помощью защищенной VPN. После аутентификации в нашей сети, когда пользователь открывает IE для перехода в веб-приложение, аутентификация больше не является «автоматической и бесшовной» … всплывающее окно запрашивает сетевые учетные данные пользователя…но это еще не все, пользователь должен добавить к своему имени пользователя префикс корпоративной сети (CN), иначе active directory не распознает его (cn jorion), потому что доменное имя пользователя отличается от корпоративной сети (CN).
У меня нет контроля над LDAP / Active Directory, но у меня есть контроль над веб-сервером (IIS) и веб-приложениями.
Я провел небольшое исследование, пытаясь найти параметр, который я мог бы установить в web.config, чтобы предварительно установить [доменное имя] во всплывающем окне или заставить его иметь значение, которое я хочу, чтобы оно было для аутентификации с помощью LDAP, но безрезультатно. Я обнаружил, что могу сделать именно это, только если переключусь с режима аутентификации = «Windows» на режим аутентификации =»Форма», но тогда каждому пользователю в корпоративной сети также придется входить в систему, где сейчас им это не нужно.
Есть ли способ, которым я могу настроить его так, чтобы пользователю не нужно было добавлять к своему имени пользователя имя корпоративного домена (cn) для аутентификации при использовании VPN?
Комментарии:
1. Проблема в том, что домашний компьютер — это тот, которому нужна информация о доменном имени. Домашний компьютер сначала попытается получить билет Kerberos на основе домена (найдя DC через VPN).
2. Спасибо, что поделился этим, Стив, после поиска в Google «Билет Kerberos на основе домена» я знаю больше о проблеме, с которой я сталкиваюсь, но, тем не менее, не удовлетворен… Я предполагаю, что настройка другого веб-приложения для пользователей VPN — моя единственная надежда… помогите мне, Обиван Кеноби…