Tres temidas solicitudes de inicio de sesión durante la autenticación

Este fin de semana me topé con este problema tan común, aunque se estaba produciendo en el servidor de AD FS que, desgraciadamente, estaba recompilando. Como ya sabrá, las razones más comunes tienen que ver con algunos parámetros de Kerberos mal configurados, o con el uso de algún nombre que no sea el nombre del servidor para una aplicación web (el ya conocido escenario de bucle invertido deshabilitado). Sin embargo, este es diferente y específico de un servidor de AD FS, por lo que pensé en capturarlo para referencia futura.

Una de las cosas buenas de AD FS 2.0 es que registra los problemas producidos en el registro de eventos. Al abrir el Visor de eventos, se muestra un nodo independiente para AD FS 2.0, así que conviene echar un vistazo ahí. En este caso particular, acabé encontrando al culpable allí, pero tardé bastante tiempo porque parece que eran varias causas las que podían generar las tres temidas solicitudes de inicio de sesión. En resumidas cuentas, cuando configuré el servidor de AD FS: a) lo configuré para que se ejecutara como una cuenta de dominio y b) usé un certificado que creé exclusivamente para AD FS para la firma de tokens. El problema resultó ser que la cuenta de servicio que usé para AD FS no tenía los derechos para la clave privada de mi certificado de firma de tokens. Esto, entre todas las causas posibles, generó tres solicitudes de inicio de sesión, lo que es interesante, asombroso y frustrante al mismo tiempo. Para conceder derechos a la cuenta de servicio para la clave privada del certificado, es necesario ejecutar MMC, agregar el complemento Certificados para el equipo local, abrir el nodo Personal, hacer clic con el botón secundario en el certificado de firma de tokens y seleccionar el menú Administrar claves privadas. Desde allí se puede acceder a la ficha Seguridad donde se puede agregar la cuenta de servicio de AD FS con, al menos, derechos de lectura para la clave privada.

Espero que estos comentarios ayuden a ahorrarles tiempo.

Esta entrada de blog es una traducción. Puede consultar el artículo original en The Dreaded 3 Login Prompts When Authenticating