我正在尝试了解有关集成Windows身份验证的更多信息,但我读到的所有内容都向我介绍了三个新的首字母缩略词,其中许多包含其他首字母缩略词,我觉得我对这些机制一无所知。
据我所知,如果HTTP客户端不支持集成Windows身份验证,则会有一系列可以识别客户端的回退,并可能涉及提示输入用户名和密码。是否会出现回退到HTTP基本身份验证或任何其他纯文本用户名/密码通信的情况?
我正在尝试确定是否需要提供SSL以保护用户凭据,并且我希望所有身份验证都以某种方式受到保护。
答案 0 :(得分:1)
在默认安装(NTLM和Kerberos)中,IWA没有可用于SSP的纯文本凭据。原则上你可以部署一些其他的SSP并通过NegoEx将它提供给IWA,并且SSP可以明确地实现密码检查,但这是不太可能的。
当然,没有什么可以阻止Web应用程序返回请求HTTP基本身份验证或表单身份验证的响应,与IWA无关,因此您必须检查没有应用程序正在执行此操作。
我正在尝试确定是否需要提供SSL以保护用户凭据,并且我希望所有身份验证都以某种方式受到保护。
如果您只对符合明文密码的公司政策感兴趣,那么IWA就足够了。
如果您有一个真正的威胁模型并且它在网络上包含一个窥探器,那么您还有更多需要担心的事情 - 这样的攻击者可以轻松地进行主动的中间人攻击并制作Web应用程序似乎做了一些像创建泄漏密码的虚假NTLM登录框。这就是你可能想要SSL的原因。