Назад | Перейти на главную страницу

Проверка подлинности Kerberos на iPad

Я не могу заставить аутентификацию Kerberos работать на веб-сайте с Ipad, где задействован дочерний домен.

Вот моя установка:

(1) Контроллер домена Windows 2012 R2 с родительским доменом example.com.

(2) Сервер IIS, присоединенный к тому же домену, на котором работает простой одностраничный сайт, который просто выдает сообщение «Hello world». Веб-сайт настроен для проверки подлинности Kerberos и только Kerberos.

(3) Контроллер домена Windows 2012 R2 с дочерним доменом child.example.com.

Тестирование: -

(1) Войдите на рабочую станцию ​​Windows 7 с учетной записью в домене example.com и попробуйте получить доступ к веб-сайту. Все работает нормально, я вхожу в систему без запроса, и страница отображается правильно. Журналы IIS подтверждают, что это была та же учетная запись.

(2) Войдите на рабочую станцию ​​Windows 7 с учетной записью в домене child.example.com. Опять же все работает правильно.

(3) Войдите на сайт с iPad, настроенного для использования учетной записи в домене example.com. Это делается путем установки профиля на iPad (этот сайт описывает примерно, как вы это делаете, как и многие другие.) Сфера настроена как example.com и также установлен UserPrincipal.

Это снова работает отлично, сайт доступен с учетной записью после запроса пароля.

[4] Войдите на сайт с iPad с учетной записью в домене child.example.com, с правильными настройками REALM и UserPrincipal в профиле iPad.

Мне постоянно предлагают ввести пароль (абсолютно уверен, что он правильный), но я никогда не могу войти в систему.

При попытке отладить проблему с помощью Wireshark в каждом из успешных случаев я вижу трафик Kerberos, запрашивающий билет службы для веб-сайта. В случае 4 я не вижу абсолютно ничего, что происходит при запуске wirehark как на родительском, так и на дочернем контроллерах домена.

Итак, что-то не так с iPad, выполняющим аутентификацию Kerberos при использовании учетной записи в дочернем домене.

Кто-нибудь раньше сталкивался с подобным? Нужны ли какие-то особые настройки, чтобы это работало? Или есть какое-то ограничение домена, которое этого не позволяет? Я уже просмотрел раздел «Домены и доверие» и подтвердил, что между родительским и дочерним объектами установлено двустороннее доверие.