Включить аутентификацию Kerberos

  1. Настройте Service Principal Names для учетной записи пула приложений Web-клиента. Для этого от имени администратора домена выполните команды:

    Setspn /s HTTP/webc company\webuser (1) (2)
Setspn /s HTTP/webc.company.com company\webuser (3) (2)

    Замените:

    1 webc — имя сервера Web-клиента.
    2 company\webuser — имя учётной записи, под которой работает пул приложений Web-клиента.
    3 webc.company.com — полное сетевое имя сервера Web-клиента.
    Учетная запись пула должна быть доменной учётной записью, входить в группу локальных администраторов на сервере Web-клиента — DocsVision Administrators и в группу Администраторы.

  2. Включите аутентификацию Kerberos в конфигурационном файле Web-клиента:

    1. Откройте конфигурационный файл Каталог-установки-Web-клиента\5.5\Site\web.config в режиме редактирования.

    2. Перейдите к секции configuration  location path="Account/LoginWindows".

    3. Измените секцию следующим образом:

      Пример 1. Включение аутентификации Kerberos
      <location path="Account/LoginWindows">
    <system.web>
      <authorization>
        <deny users="?" />
        <allow users="*" />
      </authorization>
    </system.web>
    <system.webServer>
      <security>
        <authentication>
          <anonymousAuthentication enabled="false" />
          <windowsAuthentication enabled="true" useKernelMode="false" useAppPoolCredentials="true">
            <providers>
              <clear />
              <add value="Negotiate:Kerberos" />
            </providers>
          </windowsAuthentication>
          <basicAuthentication enabled="false" />
        </authentication>
      </security>
    </system.webServer>
</location>
      Чтобы исключить проблему с аутентификацией на каждом запросе при Kerberos-аутентификации в настройках IIS необходимо перевести Kerberos из режима request-based в режим session-based.

    4. Сохраните изменения.

  3. Очистите кэш браузера пользователей.