Kerberos: Zugriff auf SharePoint 2016 per Middle-Tier

Nachtschelm erstellt 19 Dez. 2019 17:29

Hallo zusammen,

wie der Titel vermuten lässt, beiße ich mir gerade an Kerberos/Delegation die Zähne aus.

Hier ist das Szenario:

Client ruft Middle-Tier, Middle-Tier ruft SharePoint-Endpoint. Sämtliche Aufrufe verwenden SSL mit korrekten Zertifikaten und gehen direkt auf die Servernamen (keine CNAMEs). Die Middletier greift auf den SharePoint per CSOM zu.

Folgende SPNs wuden eingerichtet 

• setspn -s http/middletier:port domain\middletierAccount 
• setspn -s http/middletier.FQDN:port domain\middletierAccount
• setspn -s http/sharepoint domain\webAppAccount
• setspn -s http/sharepoint.FQDN domain\webAppAccount

Folgende Delegation wurde eingerichtet:

• Account domain\middletierAccount ist vertrauenswürdig um Credentials an domain\webAppAccount weiterzureichen (constraint delegation)

Folgendes wurde im IIS und SP eingerichtet:

• SPWebApplication Auth-Provider auf Kerberos gesetzt
• IIS-Website Auth-Provider auf Negotiate gesetzt
• Anonymous-Login in IIS WebSite disabled

Problem:

Der Aufruf von der Middletier zum SharePoint wird mit 401 abgewiesen

Folgende Feststellungen wurden gemacht:

• Aufruf der Middletier erzeugt ein Kerberos-Ticket (geprüft per Fiddler und klist)
• Direkter Aufruf der SP-Website (nicht über Middletier) erzeugt ein Kerberos-Ticket (geprüft per Fiddler und klist)
• Aufruf von Middletier zu SharePoint kommt am SP-Server als NTLM anonymous an. Offensichtlich werden keine Credentials weitergegeben
• Event Viewer auf Middle-Tier Server zeigt folgenden Fehler:
  •  Error Code: 0xd KDC_ERR_BADOPTION
  •  Extended Error: 0xc0000272 KLIN(0)

Nachdem ich jetzt schon mehrere Tage für die Analyse aufgewändet habe, der Lösung des Problems aber immer noch nicht näher kommen konnte, hoffe ich, dass mir hier im Forum jmd. weiterhelfen kann.

Vielen Dank schon mal für Eure Hilfe.