Три ужасающих приглашения входа в систему при проверке подлинности

  • Article

Три ужасающих приглашения входа в систему при проверке подлинности

В эти выходные я столкнулся с этой очень типичной проблемой, но она произошла на моем сервере ADFS, который мне, к сожалению, пришлось перестроить.  Как известно, самой распространенной причиной являются неправильные настройки Kerberos или использование неправильного имени сервера для веб-приложения (отключенный сценарий замыкания на себя).  Но мой случай оказался иным и был связан с сервером ADFS, поэтому я решил, что стоит описать его, чтобы помочь избежать такой ситуации в будущем.

Служба AD FS 2.0 достаточно подробно записывает возникшие проблемы в журнал событий.  Если открыть "Просмотр событий", можно найти отдельный узел для службы AD FS 2.0, поэтому в нем и проведем поиск.  В данном конкретном случае я в итоге нашел там источник проблемы, просто это заняло достаточно много времени, так как существует так много различных причин, которые могут привести к появлению трех ужасающих приглашений входа в систему.  Короче говоря, при настройке своего сервера ADFS я: a) настроил его для работы от имени учетной записи домена; и b) я использовал сертификат, созданный только для ADFS, для подписания маркера.  Проблема оказалась в том, что у учетной записи, которую я использовал для ADFS, не оказалось прав доступа к закрытому ключу для моего сертификата для подписи маркера.  Это в итоге привело к появлению 3 приглашений входа в систему, удивляющих и пугающих одновременно.  Чтобы предоставить учетной записи службы права доступа к закрытому ключу сертификата, нужно запустить консоль MMC, добавить оснастку "Сертификаты" для локального компьютера, открыть узел "Личные", щелкнуть правой кнопкой мыши сертификат для подписи маркера и выбрать меню "Управление закрытыми ключами".  Из него можно перейти на вкладку "Безопасность", где можно добавить учетную запись службы ADFS с правами, как минимум, чтения закрытого ключа.

Надеюсь, эта запись кому-нибудь поможет сэкономить время.

Это локализованная запись блога. Исходная статья находится по адресу The Dreaded 3 Login Prompts When Authenticating