У меня есть программа Java (работающая на виртуальной машине Windows 7), которая использует JAAS и GSSAPI для получения ресурса (например, index.html и т. Д.) Из IIS (работающего на виртуальной машине Windows 2012 R2)
Он выполняет аутентификацию (с использованием Kerberos) с помощью контроллера домена Active Directory (на второй виртуальной машине Windows 2012 R2).
Все виртуальные машины находятся в одном домене и используют контроллер домена для своей DNS.
Есть три активных пользователя каталога:
Насколько я могу судить, testuser и testuser2 одинаковы (хотя может быть что-то, что я не заметил, что отличается).
Используя программу, я могу войти в систему как все три из указанных выше пользователей (т.е. есть запросы / ответы на аутентификацию, которые кажутся правильными - неправильные пароли приводят к сбою и т. Д.). Однако когда я пытаюсь получить ресурс, только администратор и testuser2 могут его получить. testuser, однако, получает такой ответ:
HTTP/1.1 401 Unauthorized
Content-Type: text/html
Server: Microsoft-IIS/8.5
WWW-Authenticate: Negotiate
Date: Tue, 03 Jan 2017 06:14:15 GMT
Content-Length: 58
You do not have permission to view this directory or page.
Как я уже сказал, похоже, нет никакой разницы между двумя тестовыми пользователями.
Кроме того, когда я перехожу к расположению IIS в Google Chrome, я могу войти в систему как все три пользователя и просмотреть ресурс (и он использует Kerberos для аутентификации, насколько я могу судить по сетевым трассировкам).
Я действительно заблудился. Заранее спасибо :)
На самом деле это не объяснение того, что было не так или что-то в этом роде, но когда мы удалили testuser и переделали его, как прежде, он работал. Я могу только предположить, что у него не должно быть некоторых разрешений, которые были у testuser2 (testuser был старше и был там довольно рано, поэтому, возможно, мы что-то изменили).