boingxl
Goto Top

IIS 10 - Probleme mit Authentifizierung

Hallo,

ich habe ein Problem, bei dem ich einfach nicht weiterkomme.

Meine Konfiguration:
Der IIs 10 läuft auf einem dedizierten Windows Server 2019 in einer Domäne.
Auf dem Server liegt eine Webseite, auf die Domänenbenutzer von extern Zugriff haben sollen. Als Authentifizierung habe ich Digestauthentifizierung eingestellt, die NTFS-Rechte sind auch korrekt gesetzt. Im Webverzeichnis liegen als Unterverzeichnisse Anwendungen wie z.B. Moodle und ein Raumbuchungssystem (mrbs).

Was funktioniert:
Greife ich direkt auf eine Datei zu die im Webseitenverzeichnis liegt (z.B. index.html/php, egal ob im Root, oder in einem Unterverzeichnis), kommt die Abfrage der Zugangsdaten -> eingeben -> funktioniert.

Das Problem:
Wenn ich danach auf ein anderes (Unter)verzeichnis zugreife, fragt er wieder nach Zugangsdaten. Erst wenn ich die eingebe, funktioniert der Zugriff. Das sieht man besonders bei den Anwendungen, da die Ressourcen aus Unterverzeichnissen nachladen. Da muss man dann x-mal die Zugangsdaten eingeben, bis die Startseite der Anwendung alle nötigen Ressourcen geladen hat. Das Spielchen wiederholt sich dann ständig. Der Server "vergisst" quasi ständig, dass der Benutzer sich ja schon authentifiziert hat. Auch in den Logfiles taucht bei jedem Zugriff die IP mit dem Code 401 auf. Nach der Eingabe der Zugangsdaten steht dann der richtige Benutzer mit dem Code 200 da...bis zum nächsten Klick, dann wiederholt sich das ganze face-sad .

Wahrscheinlich habe ich im IIS irgendetwas falsch konfiguriert, ich komme nur nicht drauf. Hat jemand eine Idee?

Viele Grüße
BoingXL

Content-Key: 479710

Url: https://administrator.de/contentid/479710

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: 140447
140447 31.07.2019 aktualisiert um 10:40:00 Uhr
Goto Top
Wieso nutzt du noch Digest Auth, mit den diversen (Sicherheits-)Nachteilen?
Zur Frage:
https://blogs.technet.microsoft.com/yuridiogenes/2008/12/23/multiple-aut ...
Mitglied: BoingXL
BoingXL 31.07.2019 aktualisiert um 11:18:35 Uhr
Goto Top
Wieso nutzt du noch Digest Auth, mit den diversen (Sicherheits-)Nachteilen?
Was wäre denn (bei gleichem Aufwand) besser?

Das ist kein ISA-Server davor. Der IIS hängt mit Port 443 direkt im Internet.

Inzwischen habe ich auch noch weiter getestet. Die Ausprägung des Problems ist wohl auch Browserabhängig. Mit dem IE geht es perfekt (einmal Zugangsdaten eingeben und alles läuft). Mit dem Edge funktioniert es innerhalb eines Verzeichnisses wie gewünscht. Mit Chrome manchmal und mit Firefox nie. Seltsam...
Mitglied: 140447
140447 31.07.2019 um 11:20:05 Uhr
Goto Top
Mitglied: BoingXL
BoingXL 31.07.2019 um 11:42:56 Uhr
Goto Top
Zitat von @140447:

https://oauth.net/2/
Danke, aber das ist schon zu viel Aufwand für die Webseite (ist nur ein kleines Portal für eine Schule). Ich bin auch kein Webentwickler, sondern nur Netzwerkadmin.

Gibt es zu dem bestehenden Problem noch eine Idee?

Gruß
BoingXL
Mitglied: Dani
Dani 31.07.2019 aktualisiert um 14:34:05 Uhr
Goto Top
Moin,
warum verwendest du nicht Methode "Integrierte Windows-Authentifizierung" für dein Vorhaben?

Das ist kein ISA-Server davor. Der IIS hängt mit Port 443 direkt im Internet.
Hübsch, ich hoffe der IIS ist entsprechend der Vorgaben des BSI (BSI TR-02102-x) gehärtet. Ansonsten wird gerne ein Reverse Proxy (Apache oder Nginx) auf Basis von Linux davor gesetzt. face-smile


Gruß,
Dani
Mitglied: 140447
140447 31.07.2019 aktualisiert um 14:41:07 Uhr
Goto Top
Zitat von @Dani:
warum verwendest du nicht Methode "Integrierte Windows-Authentifizierung" für dein Vorhaben?
Weil er damit dann Non-Windows OS vom Zugriff ausschließt.

Der IIS hängt mit Port 443 direkt im Internet.
Ebenfalls "Aua, schmerz" face-smile.
Mitglied: Dani
Dani 31.07.2019 um 14:43:51 Uhr
Goto Top
Moin,
Weil er damit dann Non-Windows OS vom Zugriff ausschließt.
Tut er eigentlich nicht. Wenn die Authenfizierung nicht erfolgreich war, erscheint der bekannte Dialog.


Gruß,
Dani
Mitglied: 140447
140447 31.07.2019 aktualisiert um 14:56:07 Uhr
Goto Top
Wenn er zusätzlich Basis- oder Digest- Authentifizierung aktiviert dann ja, ansonsten nicht wenn es die einzigste Auth-Variante wäre.

Wäre doch mal interessant wo er seine Auth-Einstellungen in der Site getätigt hat und welche Anforderungen die anderen Webanwendungen so haben.
Mitglied: Dani
Dani 31.07.2019 um 15:02:23 Uhr
Goto Top
Moin,
hm, hier ein Zitat von Microsoft:
Die integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und eignet sich insbesondere für Intranetumgebungen, in denen die Benutzer Windows-Domänenkonten besitzen. Der Browser verwendet bei der integrierten Windows-Authentifizierung die Anmeldeinformationen des jeweiligen Benutzers aus einer Domänenanmeldung. Erst wenn dies fehlschlägt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der integrierten Windows-Authentifizierung wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn sich der Benutzer an dem lokalen Computer als Domänenbenutzer angemeldet hat, ist bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne keine erneute Authentifizierung erforderlich.
Interpretiere ich dies falsch?


Gruß,
Dani
Mitglied: BoingXL
BoingXL 31.07.2019 aktualisiert um 16:20:08 Uhr
Goto Top
Hallo,

die Windows-Athentifizierung wäre ja auch mein Favorit gewesen. Allerdings funktioniert die aus irgendeinem Grund bei mir nur über http. Sobald ich auf TLS umschalte geht es nicht mehr (Firefox spuckt mir die folgende Meldun aus: Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.) face-sad . Mit der Standard-Authentifizierung klappt der Zugriff über https dagegen problemlos.
Die Webseite lief bisher auf einem IIS 7, da hat es noch funktioniert. Seltsam.

Gruß
BoingXL

Edit: Heureka, es funktioniert. Warum? Keine Ahnung. Eigentlich habe ich nur nochmals die Standard-Authentifizierung ab- und die Windows-Authentifizierung wieder eingeschaltet.
Mitglied: 140447
140447 31.07.2019 aktualisiert um 17:21:20 Uhr
Goto Top
Zitat von @Dani:

Moin,
hm, hier ein Zitat von Microsoft:
> Die integrierte Windows-Authentifizierung ist sicherer als die Standardauthentifizierung und eignet sich insbesondere für Intranetumgebungen, in denen die Benutzer Windows-Domänenkonten besitzen. Der Browser verwendet bei der integrierten Windows-Authentifizierung die Anmeldeinformationen des jeweiligen Benutzers aus einer Domänenanmeldung. Erst wenn dies fehlschlägt, wird der Benutzer zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. Bei der integrierten Windows-Authentifizierung wird das Kennwort des Benutzers nicht zum Server übertragen. Wenn sich der Benutzer an dem lokalen Computer als Domänenbenutzer angemeldet hat, ist bei einem Zugriff auf einen Netzwerkcomputer in dieser Domäne keine erneute Authentifizierung erforderlich.
> 
Interpretiere ich dies falsch?
Ja du vergisst dabei das für den Standard-Dialog zumindest die Basic-Auth aktiviert sein muss weil die in so gut wie jedem Browser möglich ist.
Du hast mehrere Optionen einen User zu Authentifizieren. Aber, wenn ein System eine entsprechende Authentifizierungsmethode nicht unterstützt, z.B. kann ein iPad keine Windows-Auth dann wird die nächste verfügbare Auth Methode benutzt, in dem Fall wenn im IIS aktiviert wurde ist das Digest, wenn das auch nicht klappt und Basic- Auth war auch noch im IIS aktiviert dann fällt der Browser auf Basic-Auth zurück und präsentiert dir dann den Standard-Dialog, aber auch nur wenn die entsprechende Auth Option auch aktiviert ist. Ist die Option im IIS für die Site(Verzeichnis) nicht aktiviert gibt es einen Authentifizierungs-Fehler weil ja dann keine Auth-Methode mehr verfügbar ist.