我有一个使用Active Directory成员资格提供程序的Web应用程序 用户更改密码后,可以使用旧密码登录 一段时间的新密码。
这篇知识库文章(http://support.microsoft.com/kb/906305/en-us)引导我 认为这种行为是由NTLM身份验证引起的。
有没有办法将AD成员资格提供程序配置为仅执行Kerberos 身份验证而不是NTLM?
注意:我的应用程序使用最少的参数设置配置提供程序,因此每个 配置设置被设置为其默认值。
答案 0 :(得分:0)
您似乎无法更改使用的方法。奇怪的是,两个密码仍然可以工作,除非在本地缓存凭据,就好像它是一个断开连接的机器(类似于当你从一个域断开一台机器并登录它时发生的情况)。除非提供者正在缓存凭据,否则这听起来不像提供者本身正在做的事情。我没有看到任何有关凭据到期的信息,这让我相信它没有这样做。
他们可以使用两个密码登录,这听起来很奇怪,我希望其中一个或另一个能够正常工作,具体取决于DC之间的GC复制延迟或类似的东西。