В моей среде у меня есть два отдельных леса FA.COM и FB.COM и два дочерних домена DA.FA.COM и DB.FB.com. Между DA.FA.COM и DB.FB.com не существует доверия лесов, но существует двустороннее внешнее доверие.
У меня есть сервер IIS (IIS8.5 в Windows 2012r2) на DB.FB.com, и я следовал инструкциям здесь https://blogs.msdn.microsoft.com/chiranth/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis/ чтобы настроить единый вход Kerberos для статического веб-сайта на сервере IIS и заставить его работать для клиентов, обращающихся из DB.FB.COM.
Однако мне нужно расширить доступ, чтобы позволить пользователям из DA.FA.COM, входящим в свои клиентские машины (также в DA.FA.COM), получать доступ к статическому веб-сайту (в DB.FB.COM) через Kerberos. В настоящее время пользователи и клиенты DA.FA.COM могут использовать единый вход, но через NTLM вместо Kerberos. (Примечание: я проверяю, работает ли SSO через Kerberos или NTLM, используя для проверки как Fiddler, так и Klist)
Мой вопрос: если я получил kerberos sso для работы в этом домене DB.FB.COM, нужны ли мне какие-либо дополнительные конфигурации на сервере IIS для поддержки керберо между лесами или это вопрос конфигураций между контроллерами домена в DA. FA.COM и DB.FB.com для поддержки кросс-лесных керберов?
Вероятно, для этого потребуется настроить групповую политику «Использовать порядок поиска в лесу» в разделе Computer Configuration > Adminitrive Templates > System > <Kerberos or KDC> на FA.COM со значением FB.COM.
Если я изменю Kerberos локально, я смогу подключиться к экземпляру SQL Server в другом лесу через Kerberos. Что я могу легко проверить с помощью SELECT CAST(CONNECTIONPROPERTY('auth_scheme') AS NVARCHAR(MAX)) AS auth_scheme.
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh921473(v=ws.10) здесь вы можете найти дополнительную документацию по расширению.
Надеюсь, это еще кому-то пригодится.