如果用户从我们的组织内部访问我们的 SharePoint 网站,我们希望使用集成 Windows 身份验证,当有人尝试从我们组织外部进行身份验证时,我们希望使用基本身份验证(使用 SSL)。 阅读,似乎 IE 无论如何都会尝试 Windows 身份验证,并忽略我们组织外部的基本身份验证。这是不可取的,因为用户需要在 DOMAIN 中输入登录框(用户因为此而致电我们的帮助台而臭名昭著)。基本身份验证允许我们指定默认域。 Windows 身份验证不这样做。因此希望对外部使用基本身份验证,对内部使用 Windows 身份验证。
在网络内启用 Windows 身份验证并在网络外启用基本身份验证的解决方案是什么?我是否需要在 IIS 中设置两个单独的站点(一个用于 windows auth,另一个用于基本)?这需要 2 个不同的主机名吗?
这里有我没有想到的解决方案吗?
谢谢大家。
【问题讨论】:
标签: windows sharepoint iis basic-authentication
假设:您希望所有用户(包括内部用户和外部用户)针对同一个 Active Directory 域进行身份验证。
如果主要目标是让外部用户无需输入域名即可登录,您可以使用 ISA 服务器。
您可以通过将内部 DNS 直接指向您的 Sharepoint 服务器,让内部用户直接连接到您的 Sharepoint 服务器。因此,windows auth 可以为他们工作。
然后可以将外部用户指向您的 ISA 服务器(通过 DNS),并且可以将 ISA 配置为显示不需要域名的 Sharepoint 登录页面。 (这是他们正在填写的 Web 表单,但身份验证是针对 Active Directory 进行的)。
让 ISA 以这种方式工作有点棘手,因为您必须让 Sharepoint 中的 AAM 设置恰到好处。如果您使用 SSL 或 SQL Reporting Services,那就更棘手了。主要问题是没有有意义的错误消息告诉您出了什么问题。但这是可能的。 :)
我们有这个设置,效果很好,但要正常工作肯定很痛苦。
Tim
【讨论】:
Windows 身份验证使用协议来协商将使用哪种身份验证方法。我以前错了,但是我认为如果不使用两个单独的虚拟目录(如果您选择,它可以指向同一个物理目录),您就不能同时做到这两点。这个想法是您为每个配置不同的身份验证机制。
【讨论】:
为了在 SharePoint 网站上配置不同的身份验证方法(假设您至少在谈论 SharePoint 2007),您需要扩展 Web 应用程序,从而在 IIS 中创建更多网站。您将需要不同的主机名,一个用于内部,一个用于外部。
一旦扩展,将需要配置备用访问映射(这是通过 Central Admin 完成的)。然后可以在 Central Admin 的“身份验证提供程序”部分中配置身份验证提供程序。然后将为外部站点配置基本身份验证(确保使用 SSL,因为基本身份验证以明文形式发送登录信息),内部站点将配置为集成 Windows 身份验证。以下是一些值得注意的资源:
http://technet.microsoft.com/en-us/library/cc262309%28office.12%29.aspx http://go.microsoft.com/fwlink/?LinkID=79589
希望对您有所帮助。
【讨论】: