Self Service Formular für das Active Directory Teil 4 23. Februar 2012

Nachdem die Erstellung des Formulars abgeschlossen wurde, müssen wir als nächstes das komplette Projekt auf einen IIS verteilen. Das Projekt verteilen wir auf einen IIS 7.5. Die Installation der einzelnen Komponenten kann man bequem über die Powershell erledigen:

##########################################
#Import des Servermoduls
import-module ServerManager
#Installation IIS
add-windowsfeature AS-WAS-Support,AS-TCP-Activation,AS-Named-Pipes,Web-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-App-Dev,Web-Asp-Net,Web-Net-Ext,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Health,Web-Http-Logging,Web-Request-Monitor,Web-Security,Web-Windows-Auth,Web-Filtering,Web-Performance,Web-Stat-Compression,Web-Mgmt-Tools,Web-Mgmt-Console,NET-Framework,NET-Framework-Core,NET-Win-CFAC,NET-HTTP-Activation,NET-Non-HTTP-Activ,RSAT,RSAT-Role-Tools,RSAT-Web-Server,WAS,WAS-Process-Model,WAS-NET-Environment,WAS-Config-APIs

Nachdem der IIS installiert wurde, muss die Webseite auf den Server kopiert werden. Zur Vereinfachung nutze ich die “Default Website” und kopiere die Webseite einfach unter “C:\inetpub\wwwroot”. In der Web.config muss noch die Windowsauthentifizierung aktiviert werden. Die folgenden Einstellungen müssen unterhalb von <system.web> gesetzt werden.

<authentication mode="windows"/>
<identity impersonate="true"/>

Wenn die Webseite auf einem Mitgliedsserver läuft, was durchaus eine gute Entscheidung wäre, muss für das Computerkonto im Active Directory die Delegierung aktiviert werden:

Jetzt müssen im IIS noch ein paar Einstellungen gesetzt werden.


 

Sollte unter “Anbieter” noch die NTLM Authentifizierung aktiv sein, kann es zum Double-Hop Problem kommen. Eine genaue Beschreibung zu diesem Problem findet man auf der MSDN.

Wenn alles erledigt ist, kann die Seite aufgerufen werden. Wichtig: Der Internet Explorer sendet nur für die Zone “Intranet” die Windows Anmeldeinformationen an den IIS. Es muss also sichergestellt werden, dass der Internet Explorer diese Seite der Zone Intranet zuweist und nicht der Zone Internet. Wenn FireFox, Safari etc. eingesetzt werden, funktioniert diese Lösung nicht. Damit die Webseite auch mit anderen Browsern funktioniert, müsste man unter Umständen eine weitere Seite erstellen, an der sich die Benutzer mit Browsern von Drittanbietern als Erstes entsprechend authentifizieren müssen und erst danach auf die Formularseite weitergeleitet werden.

Im Browser sieht die fertige Lösung so aus:

Self Service Formular für das Active Directory Teil 1

Self Service Formular für das Active Directory Teil 2

Self Service Formular für das Active Directory Teil 3

 

Leave a Reply

*