我经历了许多博客,这些博客告诉我们,如果Kerberos失败,那么它会自动回归到NTLM。这是真的吗?
答案 0 :(得分:0)
是的,如果您通过集中管理配置了Kerberos 在IIS元数据库中,您应该具有“Negociate,NTLM”。
答案 1 :(得分:0)
实际上,这对于Kerberos来说是一个相当大的问题。是的,Negotiate将在Kerberos和NTLM之间进行选择,但这是一次性选择。它不是故障转移认证。因此,如果Kerberos身份验证失败,服务器将不会专门向客户端发送新的NTLM身份验证。
答案 2 :(得分:0)
我认为客户决定发送什么,服务器只接受或拒绝。意思是,根据服务器的要求,客户可能会或可能不会遵守。因此,如果服务器说Negotiate,客户端可以发送NTLM令牌或Kerberos令牌......?
如果您正在编写需要通过Kerberos验证客户端的服务器,那么您将能够指定是否要接受或拒绝令牌,或让客户端使用其他方案重试...如Basic(不是推荐)。
如果您正在编写客户端,只需发送您想要的任何令牌(NTLM或Kerberos),服务器将告诉您下一步该做什么(如果有的话,服务器可以接受)。
看一下这个开源项目http://spnego.sourceforge.net该项目实现了一个SPNEGO Http Servlet过滤器以及一个SpnegoHttpURLConnection对象。