如何解决MSAL错误-联合IWA错误的目标主体名称
我有一个AAD / AD联合租户设置。显然,Azure中的AAD是本地AD与VM的实验室设置。我已经对AADConnect设置进行了一些排列,但是我总是会遇到同样的错误。查找它,它通常通常与SQLServer相关联,但我认为这不适用于此。我只是在尝试使用IWA对此AAD联合应用程序进行身份验证,但无法逃脱此异常。
本地广告
域:vandelay.local
ADDS,ADFS,DNS:WIN-H9QGD6BJ2IN.vandelay.local
ADFS DNS:adfs.ad.vandelay.local
备用UPN:vandelay.firstresponse911.net
具有联合身份验证和密码哈希同步的AAD Connect设置
AAD
AADConnect设置似乎很令人满意(请参见屏幕截图) 添加了具有全局许可的应用程序管理员同意的应用程序(不需要用户交互即可授予权限) 与AADConnect同步的用户出现在具有App权限的门户中。
代码
// Signed into machine as steve.doe@vandelay.firstresponse911.net
static void Main(string[] args)
{
app = PublicClientApplicationBuilder.Create(CLIENT_ID)
.WithAuthority(AzureCloudInstance.AzurePublic,TENANT_ID,false)
.Build();
while (true)
{
var result = _retry.Execute((ctx) => GetToken2().GetAwaiter().GetResult(),new Context("acquireToken",new Dictionary<string,object>() { { "userId","paul.seabury@vandelay.local" },{ "password","AGF11nfn" } }));
Console.WriteLine($"IdTok: {ComputeSha256Hash(result.IdToken)},Exp: {result.ExpiresOn}");
Thread.Sleep(1000 * 60 * 2);
}
}
private static Task<AuthenticationResult> GetToken2()
{
var upn = System.DirectoryServices.AccountManagement.UserPrincipal.Current;
var cachedResult = app.AcquireTokenByIntegratedWindowsAuth(scopes).WithUsername(upn.UserPrincipalName).ExecuteAsync().GetAwaiter().GetResult();
return Task.FromResult(cachedResult);
}
}
例外
Microsoft.Identity.Client.MsalClientException: 'The target principal name is incorrect.'
在同一客户端计算机上,附有一个EventLog条目:
Kerberos客户端收到一个 来自服务器fsgma $的KRB_AP_ERR_MODIFIED错误。使用的目标名称 是HTTP / win-h9qgd6bj2in.vandelay.local。这表明 目标服务器无法解密客户端提供的票证。 当目标服务器主体名称(SPN)为 在目标服务所不在的帐户上注册 使用。确保目标SPN仅在帐户中注册 由服务器使用。如果目标服务也可能发生此错误 帐户密码与Kerberos上配置的密码不同 该目标服务的密钥分发中心。确保 服务器和KDC上的服务都配置为使用相同的服务 密码。如果服务器名称不完全限定,则目标为 域(VANDELAY.LOCAL)与客户端域不同 (VANDELAY.LOCAL),检查是否存在名称相同的服务器帐户 在这两个域中,或使用完全限定的名称来标识 服务器。
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Kerberos" Guid="{98E6CFCB-EE0A-41E0-A57B-622D4E1B30B1}" EventSourceName="Kerberos" />
<EventID Qualifiers="16384">4</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2020-10-30T15:24:32.660502800Z" />
<EventRecordID>3393</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>DESKTOP-BJ6P4H4.vandelay.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="Server">fsgma$</Data>
<Data Name="TargetRealm">VANDELAY.LOCAL</Data>
<Data Name="Targetname">HTTP/win-h9qgd6bj2in.vandelay.local</Data>
<Data Name="ClientRealm">VANDELAY.LOCAL</Data>
<Binary />
</EventData>
</Event>
HTTP流量
看起来好像MSAL代码成功地要求AAD对此应用进行身份验证,然后通过发现将响应发送回响应以与本地联合ADFS服务器进行对话。获取本地元数据后,MSAL代码尝试3次从Windowstransport端点获取令牌。第一次尝试没有授权标头,第二次和第三次尝试具有不同的带有编码数据的Authorization(Negotiate)标头,但它们均以401失败。
发布的请求如下:
<?xml version="1.0" encoding="UTF-8"?>
<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<s:Header>
<wsa:Action s:mustUnderstand="1">http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue</wsa:Action>
<wsa:messageID>urn:uuid:42420a0c-3505-455f-914d-639c5685b43d</wsa:messageID>
<wsa:ReplyTo>
<wsa:Address>http://www.w3.org/2005/08/addressing/anonymous</wsa:Address>
</wsa:ReplyTo>
<wsa:To s:mustUnderstand="1">https://adfs.ad.vandelay.local/adfs/services/trust/2005/windowstransport</wsa:To>
</s:Header>
<s:Body>
<wst:RequestSecurityToken xmlns:wst="http://schemas.xmlsoap.org/ws/2005/02/trust">
<wsp:AppliesTo xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
<wsa:EndpointReference>
<wsa:Address>urn:federation:MicrosoftOnline</wsa:Address>
</wsa:EndpointReference>
</wsp:AppliesTo>
<wst:KeyType>http://schemas.xmlsoap.org/ws/2005/05/identity/NoProofKey</wst:KeyType>
<wst:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</wst:RequestType>
</wst:RequestSecurityToken>
</s:Body>
</s:Envelope>
,序列如下所示:
解决方法
您似乎在DNS中使用CNAME来解析adfs服务器场名称->您应使用主机A记录 Kerberos客户端将首先将Web服务的名称解析为A记录,然后再请求Kerberos服务票证
这将解释您看到的kerberos错误
“ Kerberos客户端从服务器fsgma $接收到KRB_AP_ERR_MODIFIED错误。使用的目标名称为HTTP / win-h9qgd6bj2in.vandelay.local。”
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。