我使用了一些客户端软件和Web应用程序,这些应用程序不清楚它们允许哪种类型的IWA进行身份验证。我读过手册/指南无济于事。它们包含标记为“启用IWA”的复选框功能,并且在对计算机/域进行身份验证时,IWA似乎与广告一样。
根据我所知道的和我所做的研究,有两种类型的IWA:NTLM和 Kerberos的。我熟悉允许Negotiate使用/或NTLM / Kerberos的IIS设置。我也熟悉使用klist来确定是否在域认证系统上请求/使用了kerberos票证。
我感到困惑的是当一个场景出现在一个应用程序不是基于IIS的地方(也就是无法检查协商设置)以及klist输出显示没有kerberos门票而IWA仍在工作的地方。这种情况总是被认为是IWA NTLM吗?还有其他形式的IWA,我不知道吗?我知道Web应用程序可以从javascript中提取当前经过身份验证的用户,但这是一种非常不安全的做法,而且在我查看javascript时似乎也不是这种情况。
问题摘要:
答案 0 :(得分:0)
我还没有提到其他形式的IWA吗?
A。没有其他形式 - 您的研究是正确的,并列出了两种形式的IWA: NTLM 和 Kerberos 。
如果正在进行非IIS / klist可验证的IWA,如何检查IWA类型
利用?
A。 klist验证Kerberos是否用作IWA类型。如果klist没有向Web应用程序显示Kerberos票证和单点登录,而HTTP客户端没有显示要求输入用户名和密码的对话框,那么身份验证类型必须是NTLM。