我的理解是 NTLM 是一个质询响应协议,而 Kerberos 传递一张票。我遇到的大多数信息只是说这就是 Kerberos 可以双跳但 NTLM 不能的原因,而没有解释为什么 NTLM 不能只转发响应和挑战。
即,为什么这种情况不可能:
客户端向前端服务器进行身份验证,然后前端服务器需要代表客户端向后端服务器进行身份验证。前端然后尝试认证并发送用户名,后端然后向前端发出质询,前端将此质询转发给客户端,客户端发出响应,前端再转发此响应到后端。
我知道它不是这样工作的,但我对细节很好奇。为什么服务器不能转发允许双跳的响应和挑战?
谢谢。