我浏览了许多博客,这些博客告诉我,如果 Kerberos 失败,它会自动回退到 NTLM。这是真的吗?
问问题
3796 次
3 回答
0
是的,如果您通过中央管理配置了 Kerberos。
在 IIS 元数据库中,您应该有“Negociate, NTLM”。
于 2009-10-12T18:45:33.357 回答
0
实际上,这对于 Kerberos 来说是一个很大的问题。是的,Negotiate 将在 Kerberos 和 NTLM 之间进行选择,但这是一次性的选择。这不是故障转移身份验证。因此,如果 Kerberos 身份验证失败,服务器不会专门向客户端发送新的 NTLM 身份验证。
于 2009-10-14T14:45:37.867 回答
0
我认为客户端决定发送什么,服务器只是接受或拒绝。这意味着,根据服务器的要求,客户端可能会也可能不会遵守。因此,如果服务器说协商,客户端可以发送 NTLM 令牌或 Kerberos 令牌......?
如果您正在编写需要通过 Kerberos 对客户端进行身份验证的服务器,那么您将能够指定是否要接受或拒绝令牌,或者让客户端使用其他方案重试......比如 Basic(不推荐)。
如果您正在编写客户端,只需发送您想要的任何令牌(NTLM 或 Kerberos),服务器就会告诉您接下来要做什么(如果有的话,服务器可能会接受)。
看看这个开源项目http://spnego.sourceforge.net该项目实现了一个 SPNEGO Http Servlet 过滤器以及一个 SpnegoHttpURLConnection 对象。
于 2009-11-05T09:55:30.993 回答