0

当 SSPI 处于“协商模式”时,NTLM 似乎是最受欢迎的(一个遗留故事)。但是 SSPI 何时以及为什么会考虑(并选择) Kerberos ?

(据我所见,当客户端和服务器在同一台机器上时,NTLM 被挑选出来)

4

1 回答 1

0

Kerberos 优于 NTLM 并尽可能使用,即:

  • 客户端计算机已登录到 Active Directory
  • 客户端机器可以访问DNS
  • DNS 包含 A 记录(不是 CNAME 别名) - 用于客户端想要访问(向前和向后)的服务器,以便 Web 浏览器可以将其转换为正确的 SPN
  • 没有重复的 SPN
  • 网络服务器在客户端网络浏览器之外的另一台机器上运行
  • 必须至少有一种编码类型,两台机器都支持(在 krb5.ini 中定义)
于 2014-04-01T14:06:28.097 回答