Во-первых, немного фона: У нас есть интранет-сайт, основанный на WSS 3.0, который размещен на сервере в DOMAIN_A.LOCAL и настроен для использования встроенной проверки подлинности Windows для проверки подлинности пользователей от учетных записей пользователей Active Directory от DOMAIN_A.LOCAL.SharePoint (WSS) Аутентификация нескольких доменов
Эта установка работает просто отлично подходит для пользователей, которые вошли в Windows, используя учетную запись AD от DOMAIN_A.LOCAL, но когда пользователи пытаются получить доступ к сайту с компьютера вошедшего в Windows, используя учетную запись AD с другой домен (т.е. DOMAIN_B.LOCAL) возникают следующие проблемы:
пользователь должен вручную ввести свои учетные данные в домене DOMAIN_A \ UserName, а не просто UserName, потому что в противном случае, Internet Explorer автоматически вставляет в домене DOMAIN_B и вызывает аутентификации на провал.
После входа в систему, если пользователь выполняет что-то, что требует от браузера передать свою аутентификацию через клиентское приложение, например, щелкнув документ Microsoft Office в библиотеке документов, чтобы открыть его для редактирования, появляется что недействительные учетные данные (предположительно домене DOMAIN_B) передаются автоматически, тем самым заставляя пользователя вручную ввести их домене DOMAIN_A учетные данные еще раз.
Мой вопрос, то это:
Есть ли способ реализации типа «по умолчанию домен» поведение при использовании встроенной проверки подлинности Windows (как это может быть сделано при использовании обычной текстовой аутентификации), так что если пользователь на домене DOMAIN_B не входит в домен перед их именем пользователя, домена DOMAIN_A вставляется автоматически для них?
Конечно, я понимаю, что это развертывание может быть смертельно ошибочным, поэтому я также открыт для предложений по другой реализации.
Таким образом, основная проблема связана с двумя разными типами пользователей, которым необходимо получить доступ к одному и тому же контенту на одном сайте SharePoint. Пользователи в DOMAIN_A имеют свои собственные рабочие места, где они входят в Windows как сами. Пользователи в домене DOMAIN_B, к сожалению, использовать общие компьютеры, которые регистрируются на использование общих счетов типа «киоск», которые не имеют права доступа в SharePoint - таким образом, требование о том, что домене DOMAIN_B пользователей должны предоставить свои учетные данные по требованию при доступе к данной странице в SharePoint.Я хотел бы сохранить удобство встроенной проверки подлинности Windows, для «статических» пользователей домена DOMAIN_A при минимизации количества ручной аутентификации, что «киоск» пользователей в домене DOMAIN_B придется терпеть.
Другая причина, по которой я не могу решить проблему, доверяя * DOMAIN_B *, заключается в том, что у этих учетных записей нет разрешений в SharePoint. Учетные записи * DOMAIN_B * - это всего лишь общие логины, которые определяют рабочую станцию киоска, но не отдельные пользователи. Если вы предлагаете расширить приложение в новой зоне, вы имеете в виду, что можно использовать один и тот же контент для разных методов аутентификации через отдельные зоны? Если это так, это может быть только то, что мне нужно ... –
Да, это именно то, что я имею в виду. Вот статья о технологиях о зонах планирования, а также о том, как продлить и опубликовать с помощью ISA: http://technet.microsoft.com/en-us/library/cc288609.aspx – shufler
Спасибо, Джейсон. Это именно то, что мне нужно. , Я тестирую эту конфигурацию прямо сейчас. –