Я не могу заставить аутентификацию Kerberos работать на веб-сайте с Ipad, где задействован дочерний домен.
Вот моя установка:
(1) Контроллер домена Windows 2012 R2 с родительским доменом example.com.
(2) Сервер IIS, присоединенный к тому же домену, на котором работает простой одностраничный сайт, который просто выдает сообщение «Hello world». Веб-сайт настроен для проверки подлинности Kerberos и только Kerberos.
(3) Контроллер домена Windows 2012 R2 с дочерним доменом child.example.com.
Тестирование: -
(1) Войдите на рабочую станцию Windows 7 с учетной записью в домене example.com и попробуйте получить доступ к веб-сайту. Все работает нормально, я вхожу в систему без запроса, и страница отображается правильно. Журналы IIS подтверждают, что это была та же учетная запись.
(2) Войдите на рабочую станцию Windows 7 с учетной записью в домене child.example.com. Опять же все работает правильно.
(3) Войдите на сайт с iPad, настроенного для использования учетной записи в домене example.com. Это делается путем установки профиля на iPad (этот сайт описывает примерно, как вы это делаете, как и многие другие.) Сфера настроена как example.com и также установлен UserPrincipal.
Это снова работает отлично, сайт доступен с учетной записью после запроса пароля.
[4] Войдите на сайт с iPad с учетной записью в домене child.example.com, с правильными настройками REALM и UserPrincipal в профиле iPad.
Мне постоянно предлагают ввести пароль (абсолютно уверен, что он правильный), но я никогда не могу войти в систему.
При попытке отладить проблему с помощью Wireshark в каждом из успешных случаев я вижу трафик Kerberos, запрашивающий билет службы для веб-сайта. В случае 4 я не вижу абсолютно ничего, что происходит при запуске wirehark как на родительском, так и на дочернем контроллерах домена.
Итак, что-то не так с iPad, выполняющим аутентификацию Kerberos при использовании учетной записи в дочернем домене.
Кто-нибудь раньше сталкивался с подобным? Нужны ли какие-то особые настройки, чтобы это работало? Или есть какое-то ограничение домена, которое этого не позволяет? Я уже просмотрел раздел «Домены и доверие» и подтвердил, что между родительским и дочерним объектами установлено двустороннее доверие.