Terminal Server 2003 en windows authenticatie

[Peter Wagemans]

Vandaag de 2de klant waar ik hiermee plotseling problemen krijg.

 

Mensen die netjes op de terminal server via domain authenticatie zijn ingelogd, moeten sinds een paar dagen terug hun paswoord ingeven bij het starten van de FileMaker applicaties.

 

De klant van vandaag gaf me een hint. Het gebeurt sinds de server herstart is na Windows Update.

 

Wat me doet vermoeden dat er een Windows Update is geweest die het authenticatie mechanisme veranderd heeft op Terminal Server.

 

Het gebeurt alleen op terminal server. Iemand onder jullie die dit kan bevestigen?

[Guido]

Peter,

 

dit gebeurt toch altijd? ik was van mening dat je alleen je gebruikersnaam vast kon leggen in het account. Het password ook? Zo ja, hoe moet dit? dat is namelijk wel interessant...

[Peter Wagemans]

@Guido:

Een FileMaker Server op Window kan je zó instellen dat die gebruik maakt van de lokaal gedefinieerde gebruikers en groepen, óf de domain gebruikers en groepen, óf een combinatie van beiden.

Je definieert dan externe accounts in je FileMaker file, naast je verplichte interne FileMaker full access account.

 

Bij het inloggen op de file, gaat de FileMaker Server je credentials die je gebruikt hebt om in te loggen in je Windows sessie, (automatisch = "single sign on" of SSO in de volksmond ) gebruiken om te verifieren in welke gebruikersgroepen je zit. Externe accounts in FileMaker moeten dezelfde naam hebben als gebruikersgroepen in Windows.

 

Zit je in een gebruikersgroep = externe FileMaker account, dan kent FileMaker Server Windows je - dus zonder authenticatie te vragen - de privilegeset toe die bij die externe account hoort.

 

Heel mooi spul, echter een beetje zielig gedocumenteerd door FileMaker.

Op OS X bestaat een soortgelijk authenticatie systeem ( dat BTW nog zieliger gedocumenteerd is ), maar wel werkt. Het SSO mechanisme is echter een pure Windows aangelegenheid.

Tijdens de WWDC vroeg ik aan de spreker of we ook "single sign on" kunnen verwachten bij open directory, omdat het zogezegd ook Windows domain authenticatie ondersteund. Het antwoord was echter zoiets in de stijl van "je hebt toch een keychain?".

 

 

Ondertussen is ook de reden van het euvel achterhaald.

Het is geen goed idee om je domain controller tegelijkterijd met de rest van je servers te "Windows Updaten".

Een Windows domain controller heeft nogal veel tijd nodig om af te sluiten en op te starten. Tijdens die periode is hij onbeschikbaar.

Het SSO mechanisme is hierop spaak gelopen - eigenlijk een bugje.

Bij het opstarten van de FileMaker Server was de domain controller niet beschikbaar, en het SSO mechanisme voorgoed naar de Filistijnen.

De basis - het authenticatie mechanisme zelf - werkte echter wel.

Een simpele herstart van de FileMaker Server heeft het probleem opgelost. Of was het nu de Terminal Server... ik weer het even niet meer.

[Koen Van Hulle]

Het was de herstart van de Terminal Server.

 

Koen