如何检查IIS网站是否成功使用Kerberos而不是退回NTLM?
答案 0 :(得分:4)
Fiddler2将指示身份验证标头是否为NTLM vs Kerberos。
Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F `.{..+..... .o
WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A ¡ 0 ....¡...*
答案 1 :(得分:3)
我能想到的最简单的方法是使用wireshark来监视网络数据包并验证您的IIS服务器是否正在从您的DC请求Kerberos票证。
答案 2 :(得分:3)
我发现在代码中测试您使用Kerberos的一种方法是NTLM的HTTP_AUTHORIZATION标头始终以以下内容开头:
Negotiate TlRMTVNTUA
如果标题不以文本开头,则浏览器使用Kerberos进行身份验证。
答案 3 :(得分:1)
您可以在Web服务器的事件查看器中检查安全日志。
您还可以在客户端计算机上启动KerbTray,并检查它是否使用了正确的SPN。 Kerbtray可用here(别担心,它不仅仅是Win2000)。
答案 4 :(得分:1)
我使用事件查看器中的安全日志来检查已经提到过的人。这是一个成功的路边认证:
Successful Network Logon:
User Name: {Username here}
Domain: {Domain name here}
Logon ID: (0x0,0x########)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {########-####-####-####-############}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
答案 5 :(得分:0)
嗯,Negotiate也可以是Kerberos,因为它是Kerberos和NTLM的包装器。像其他人说的那样,Wireshark(或网络监视器)和安全事件日志不会欺骗你。