跨多个域的 SharePoint (WSS) 身份验证

Question

首先，一点背景知识:我们有一个基于 WSS 3.0 的 Intranet 站点，该站点托管在 的服务器上。 DOMAIN_A.LOCAL 并设置为使用集成 Windows 身份验证根据 的 Active Directory 用户帐户对用户进行身份验证DOMAIN_A.LOCAL .

此设置适用于使用来自 的 AD 帐户登录 Windows 的用户。 DOMAIN_A.LOCAL ，但是当用户尝试从使用来自不同域(即 DOMAIN_B.LOCAL )的 AD 帐户登录 Windows 的 PC 访问该站点时，会出现以下问题:

用户必须手动输入其凭据作为 域_A\用户名而不仅仅是 用户名 因为否则，Internet Explorer 会自动插入 DOMAIN_B 并导致身份验证失败。

登录后，如果用户执行某些要求浏览器将其身份验证传递给客户端应用程序的操作，例如单击文档库中的 Microsoft Office 文档以打开它进行编辑，则似乎是无效的凭据(大概是 DOMAIN_B ) 被自动传递，从而迫使用户手动输入他们的 DOMAIN_A 再次凭据。

我的问题，那么是这样的:

在使用集成 Windows 身份验证(使用基本明文身份验证时可以这样做)时，是否有任何方法可以实现“默认域”类型的行为，以便 上的用户DOMAIN_B 在用户名前不输入域， DOMAIN_A 为他们自动插入？

当然，我意识到这种部署可能存在致命缺陷，因此我也愿意接受不同实现的建议。

总之，主要问题源于两种不同类型的用户需要访问一个 SharePoint 站点上的相同内容。 中的用户DOMAIN_A 所有人都有自己的全职工作站，他们可以在其中以自己的身份登录 Windows。 中的用户DOMAIN_B 不幸的是，必须使用使用在 SharePoint 中没有权限的通用“信息亭”类型帐户登录的共享计算机——因此要求 DOMAIN_B 用户在访问 SharePoint 中的给定页面时必须按需提供其凭据。我想为 的“静态”用户保留集成 Windows 身份验证的便利性。 DOMAIN_A 同时最大限度地减少 中“信息亭”用户的手动身份验证量DOMAIN_B 不得不忍受。

Answer 1

DOMAIN_A.LOCAL 必须信任 DOMAIN_B.LOCAL，否则来自 DOMAIN_B.LOCAL 的用户将收到凭据提示，因为他们的 DOMAIN_B.LOCAL 帐户在 DOMAIN_A.LOCAL 中是未知的。

鉴于 DOMAIN_B.LOCAL 适用于 kisok 用户，您可能不想信任该域。

您需要将 Web 应用程序扩展到一个新区域，并实现基于表单的身份验证，或者将 Windows 身份验证与反向代理(如 ISA 服务器)一起使用。