[MOSS2007] Kerberos setup, AD access denied

Le
pher
Bonjour
j'essaie de mettre en place Kerberos sur mon domaine de test, et je me sers
des indications du blog de ton Stegeman (MVP). J'en suis à l'étape 1 -
Preparing the AD for Kerberos. J'ai fait le setSPN pour le SQLservice, avec
le FQDN et le nom Netbios. J'ai ensuite dû faire un "raise the domain
functional level" à Windows Server 2003, afin d'avoir l'onglet Delegation
dans les propriétés du compte SQLservice dans Active Directory. Maintenant,
quand je clique sur "Trust this user for delegation to any service (Kerberos
only)", je reçois un message d'erreur "Active directory: Access denied",
alors que je suis administrateur du domaine.
J'ai beau écarquiller les yeux, je ne vois pas ce que j'ai loupé.
Elpe, comme disent nos amis anglo-saxons.
Pierrot
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
TG2K
Le #16926281
Bonjour,

On 19 oct, 10:28, "pher"
j'essaie de mettre en place Kerberos sur mon domaine de test, et je me se rs
des indications du blog de ton Stegeman (MVP). J'en suis à l'étape 1 -
Preparing the AD for Kerberos. J'ai fait le setSPN pour le SQLservice, av ec
le FQDN et le nom Netbios. J'ai ensuite dû faire un "raise the domain
functional level" à Windows Server 2003, afin d'avoir l'onglet Delegati on
dans les propriétés du compte SQLservice dans Active Directory. Maint enant,
quand je clique sur "Trust this user for delegation to any service (Kerbe ros
only)", je reçois un message d'erreur "Active directory: Access denied",
alors que je suis administrateur du domaine.
J'ai beau écarquiller les yeux, je ne vois pas ce que j'ai loupé.



La problématique de droits que vous exposez est plus probablement un
problème AD que Sharepoint.
Concernant Kerberos, quelques vérifications de base:
- sur quelle identité avez-vous effectué le SetSPN ? le compte
machine, ou le compte AD utilisé pour l'identité de SQL ?
- vérifiez la présence des SPN en tapant: "setspn -L <domainecompte>
" cela listera les SPN
- il faut aussi (mais cela ne joue pas sur votre problème) créer les
SPN pour l'identité du pool d'application utilisé par la webapp que
vous passez en Kerberos, là encore avec le nom NetBIOS et le FQDN
(attention à la syntaxe, pas de "http://" mais bien "http/": setspn -A
http/monserveur:80 mondomainemoncompte puis setspn -A http/
monserveur.mondomaine.monTLD mondomainemoncompte

Au sujet de l'onglet "Delegation" maintenant, sur le compte AD: il
n'apparaît que si:
- le DOMAINE (pas forcément la forêt) est bien en mode natif W2K3
- le compte concerné a un ou plusieurs SPN définis (SPN à définir a vec
un compte ayant le privilège dans l'AD, admin étant suffisant :-) )

Cdlt,
--
TG2K
Publicité
Poster une réponse
Anonyme