Historias de Figueroa

Mi amorío con Kerberos va ya para 2 o 3 meses y empieza a ser ya una relación odio-odio....últimamente me canso de repetirlo aunque estoy totalmente convencido de esta afirmación:

La última que me he encontrado es en una instalación en la cual me he encontrado con una implementación completa de Kerberos en todos los sistemas de la empresa, con tarjeta inteligente y toda la pesca.

El problema venía cuando se habilitaba Kerberos en una aplicación web, nos pedía autenticación y daba error 401 de no autorizado, ya que no se podía realizar la autenticación. Al disponer de tarjeta inteligente no se disponía de usuario nominal y psw por lo que no se podía realizar la autenticación por NTLM.

Usaremos dos app pools uno para la admin central con el usuario digamos figueroa\AdminCentral y otro para el SSP y la colección de sitios figueroa\Otros.

Hasta ahí todo bien, se configura con kerberos se registran los SPN necesarios, y no funciona....dolor de cabeza, caso en Microsoft, y nada no hay solución aparente.

Al final el problema se debía a dos razones:

1. Al tener el mismo nombre FQDN cada una de las aplicaciones web y al estar corriendo unas y otras con diferentes usuarios no se realizaba una diferenciación por puerto por lo que los servicios de uno de los dos usuarios no se encontraban registrados.
2. No se realiza diferenciación del puerto y del FQDN a la hora de realizar la petición Kerberos por lo que fallaba.

Al final lo más sencillo es desplegar una plataforma SharePoint con Kerberos usando siempre nombres FQDN diferentes para cada aplicación web, no usar puertos, al menos con Kerberos.