SharePoint 2010 und Java - Web Service bringt immer 401 UNAUTHORIZED

Olaf Didszun Als Antwort am 6 Jan. 2012 13:28

Vorweg genommen: ich bin kein Java-Developer :-)

Unter welchem Betriebssytem läuft Dein Java-Code? Wenn nicht unter Windows, dann ist es zunächst mal erklärbar, dass Du mit NTLM Probleme hast. Nach meinem Verständnis sollte es aber trotzdem funktionieren, weil Du Dich gegen den Web-Service authentifizieren kannst. Ich kenne die Klassen und Methoden in Java nicht, mit denen auf Web-Services zugegriffen wird, aber im .NET Framework gibt es eine Credentials-Klasse, die dafür verwendet werden kann.

Beste Grüße

Olaf

Christian Merkel Als Antwort am 6 Jan. 2012 13:43

Ich bin auch kein Java Developer.

Daher nutze ich das SoapUI Tool um die Antwort eines WebServices abzufangen.

Alles läuft unter Windows.

Mit einer anderen anwendung, bei welcher FBA richtig eingestellt ist geht es auch und es kommt ein "NoError" zurück. Daher meine Frage auch, was ich noch so beachten muss. Ich will aber nicht FBA nutzen :D (ausser es geht wirklic nicht anders)

Christian Merkel Als Antwort am 6 Jan. 2012 15:45

Alos, ich habs jetzt hinbekommen.

Ich hab eine WebApplication erzeugt, welche Claims nutzt.

Diese habe ich erweitert und bei der Erweiterung _nur_ Forms ausgewählt.

Dann noch die web-config von CA und Secury Token angepasst und ich konnte über die CA einen User zur Extension hinzufügen über FB (Full Control).

Der Login geht auch über FB in der Extension.

Soweit so gut. Jetzt kann der User alles machen. Ausser: neue User über das WFE hinzufügen. Da ich ja für die Extension kein MembershipProvider eingerichtet habe kann ich bei der Suche nach usern auch keine finden.

Wenn ich die Connection und den Provider eintrage in die Web-Config geht es nich mehr. keine Rechte mehr! Warum?

Weil dann der Application-Pool-Account versucht im AD zu lesen und das nicht geht?

Jetzt bin ich so weit... es fehlt nur noch die Suche nach Usern im FrontEnd mittels FBA. (ich könnte auch jeden user über ca mittels full controll auf die zone authentifizieren denn ich brauche, aber das halte ich für eine unsaubere lösung!)

Hier noch der link welcher mir geholfen hat (da werden dann auch die user nur über ca administriert):

http://www.c-sharpcorner.com/uploadfile/nipuntomar/sharepoint-2010-form-based-authentication-using-active-directory/

EDIT:

Ich glaub ich habe das Problem gefunden. Es lag nicht an einem Service-Account sondern scheinbar wurden die FBA-User nicht in der Site-Collection richtig authentifiziert bzw. berechtigt. Also hab ich erst einmal alle auf "FULL CONTROL" gestellt in der CA und dann die einzelnen User im FrontEnd in die Gruppe Members aufgenommmen. Dann die NT Auth wieder in der CA entfernt und siehe da, es geht :D

Christian Merkel Als Antwort am 9 Jan. 2012 09:57

Ist das irgendwie ein Bug oder warum geht folgendes Szenario nicht? Ich hab es jetzt 3 mal getestet:

1. Erstellung einer neuen Claims Based Application
2. Nur NTLM als Authentifizierung möglich
3. Anpassung der Web-Config von CA und SecureTokenService um AD-MemberShipProvider
4. Erstellung einer Extended Zone mittels FBA
5. Anpassung der Web-Config der Extended Zone um AD-MembershipProvider
6. Erstellung einer Site Collection aus CA, wobei Primary ein NTLM und Secondary Admin ein FBA User ausgewählt wird
7. Login im Default als NTLM Admin -> geht
8. Login in der Extended als FBA Admin -> Access Denied

Warum frag ich jetzt?

Was geht hier schief?

Wenn ich dann folgendes mache:

1. Default um FBA + Membership Provider erweitern
2. FBA User als Owner im WFE hinzufügen
3. FBA + Membership wieder entfernen
4. Login in der Extended -> geht

??

Es muss doch auch möglich sein sich normal als FBA Admin einzuloggen, da ich das doch direkt ausgewählt und eingestellt habe?