Назад | Перейти на главную страницу

Прохождение Kerberos с Microsoft ISA / TMG и SAP EP - Internet Explorer путается, если https

Я уже давно борюсь с этой проблемой и начинаю отчаянно искать решение.

Вот моя проблема: я установил корпоративный портал SAP, который публикуется через Microsoft ISA. ISA используется для публикации страницы через HTTPS (только HTTP в SAP EP), а прослушиватель настроен на анонимность, и клиент может аутентифицироваться напрямую. Затем SAP EP занимается аутентификацией.

Мы решили ввести Kerberos, чтобы упростить соединение. На стороне SAP нет проблем, мастер SPNego, один перезапуск экземпляра и вуаля. На стороне AD мы создали SPN и назначили его учетной записи службы, указанной в SAP.

Что ж, это работает как шарм (HTTP и HTTPS из IE, Firefox и Chrome), когда вы напрямую обращаетесь к SAP EP. Но когда мы пытаемся сделать это через Microsoft TMG (новый ISA) с той же настройкой, что и раньше (аутентификация на слушателе и клиенте не может проходить аутентификацию), он работает без проблем с Firefox и Chrome на HTTPS и HTTP, но в IE это работает, только если HTTP.

Кажется, что IE или TMG путают с туннелированием HTTPS -> HTTP, выполняемым TMG. Я проверил с помощью Fiddler, и IE получает 401 для Negotiate и отправляет билет KRB, но почему-то не работает и возвращается на страницу авторизации SAP.

К вашему сведению: SPN правильный, IE получает его правильно, но затем что-то не работает должным образом.

Ответ здесь: http://support.microsoft.com/kb/951509/

Ура, JD.