首先,一點背景:我們有一個基於WSS 3.0內部網站是在的服務器上承載DOMAIN_A.LOCAL,並設置爲使用集成Windows身份驗證來驗證用戶違反Active Directory用戶帳戶DOMAIN_A.LOCAL。的SharePoint(WSS)驗證跨多個域
此安裝工程只是罰款誰使用的是AD帳戶從DOMAIN_A.LOCAL登錄到Windows用戶,但是當用戶試圖從登錄到Windows的PC使用AD帳戶從不同的訪問網站域(即DOMAIN_B.LOCAL)會出現下列問題:
用戶必須手動輸入他們的憑證DOMAIN_A \用戶名而不僅僅是用戶名因爲否則的話,IE瀏覽器會自動插入DOMAIN_B並導致身份驗證失敗。
登錄後,如果用戶做了某些事情需要瀏覽器將其身份驗證傳遞給客戶端應用程序,例如單擊文檔庫中的Microsoft Office文檔以打開它進行編輯,則會顯示是無效的憑證(大概DOMAIN_B)將自動傳遞,從而迫使用戶手動重新輸入他們的DOMAIN_A憑據。
我的問題,那就是:
有沒有辦法實現使用集成Windows身份驗證時,「默認域」類型的行爲(如可以使用基本明文身份驗證時完成),所以如果在DOMAIN_B用戶沒有自己的用戶名前輸入一個域名,DOMAIN_A爲他們自動插入?
當然,我意識到這種部署可能是致命的缺陷,所以我也樂於接受針對不同實現的建議。
總之,主要問題源於需要在一個SharePoint網站上訪問相同內容的兩種不同類型的用戶。 DOMAIN_A中的用戶都有自己的全職工作站,他們以自己的身份登錄到Windows。在DOMAIN_B用戶不幸的是必須使用登錄使用具有SharePoint中沒有任何權限通用的「亭」型帳戶的共享計算機 - 從而使DOMAIN_B用戶必須根據需求提供其證書的要求當訪問SharePoint中的給定頁面時。我想保留集成Windows身份驗證的方便的「靜態」的用戶DOMAIN_A,同時儘量減少人工認證的「信息亭」用戶DOMAIN_B不得不忍受的量。
我無法通過信任* DOMAIN_B *解決問題的另一個原因是這些帳戶在SharePoint中沒有任何權限。 * DOMAIN_B *帳戶只是識別自助服務終端工作站的通用登錄名,而不是單個用戶。 當您建議將應用程序擴展到新的區域時,是否意味着可以通過單獨的區域使用不同的身份驗證方法。如果是這樣,那可能正是我需要的...... – 2009-04-24 04:15:04
是的,那正是我的意思。 以下是有關規劃區域以及如何使用ISA進行擴展和發佈的technet文章:http://technet.microsoft.com/en-us/library/cc288609.aspx – shufler 2009-04-24 17:53:50