SSPI谈判困境

时间:2014-03-28 23:28:20

标签: active-directory kerberos sspi ntlmv2

当SSPI处于“negociate模式”时,NTLM似乎是最受欢迎的(传统故事)。 但是SSPI何时以及为何会考虑(并选择)Kerberos?

(据我所见,当客户端和服务器在同一台机器上时,选择了NTLM)

1 个答案:

答案 0 :(得分:0)

Kerberos比NTLM更受欢迎,只要有可能就会使用,即:

  • 客户端计算机已登录到Active Directory
  • 客户端计算机可以访问DNS
  • DNS包含A记录(不是CNAME别名) - 用于服务器,客户端想要访问(向前和向后),以便Web浏览器可以将其转换为正确的SPN
  • 没有重复的SPN
  • webserver在另一台机器上运行,而不是客户端webbrowser
  • 必须至少有一种编码类型,两台机器都支持(在krb5.ini中定义)
相关问题
最新问题