財神娛樂首存即享優惠回饋唷~詳情請進👉

為何在II巨金娛樂S中使用Kerberos而不是NTLM?

妞妞運氣

這是我從未真正可以或許歸答電競運彩賠率的成績:在IIS中使用Kerberos身份驗證而不是NTLM的真正上風是甚么?

我已經經望到許多人真的很難配置它(包含我本人)而且我沒有可以或許找到使用它的充沛理由.必需有一些相稱光鮮明顯的優點,不然配置它不值得一試,對吧?

僅從
Windows的角度來望:

NTLM
>實用于內部(非域)以及外部客戶端>實用于IIS框中的域帳戶以及內地用戶帳戶
>使用域帳戶,只有服務器必要間接毗鄰到域節制器(DC)>使用內地帳戶,你不必要任何處所毗鄰:)>您無需以相關用戶身份登錄即可使用憑證>除此以外:DC不會被忙碌的NTLM服務器(IIS,Exchange,TMG 妞妞算牌/ ISA等)和NTLM哀求的數目所吞沒(緩解:MaxConcurrentAPI,AuthPersistSingleRequest (false),更快的DC).(Self-referential bonus. )
>要求客戶端僅毗鄰到IIS服務器(在站點端口上,沒有其它.即所有都經由過程HTTP(或者HTTPS)產生.)>可以遍歷任何支撐HTTP Keep-Alives的代辦署理
>您可以使用TLS / SSL辦理其余成績
>必要多次來回進行身份驗證,使用小數據包
>(日記模式為401.2,401.1,200用戶名)
>不克不及用于必要雙跳認證的場景
>即,用戶的憑據將被轉發到另一臺計算機上的服務
>支撐舊客戶端(< Win2000)>易受LM Auth Level懸殊的影響(lmcompatibilitylevel不婚配)若是Curb掉敗,>將被Negotiate包用作后備.
>(不是“若是使用Curb謝絕走訪”,Curb必需中止才能使用NTLM – 平日這望起來沒有取得票證.若是客戶取得票證而且它不完善,那末這不會致使撤退退卻.)
Kerberos的
>僅實用于當前參加域的客戶
>要求客戶端毗鄰到AD DC(tcp / udp 88)以及服務器(客戶端經由過程Curb端口從DC檢索票證台湾六合彩,然后使用HTTP供應給服務器)
>可能可以或許遍歷代辦署理,但請參閱下面的DC點:您依然必要與運動DC在統一收集上,服務器也是云云.
>以是實踐上若是你有一個域名,互聯網毗鄰的客戶端間接與互聯網毗鄰的DC談天,它是可行的.但除非你已經經曉得,不然不要如許做.>在反向代辦署理方案(ISA / TMG)中,protocol transition服務器必要在該收集上,即不是客戶端…然則客戶端現實上不是阿誰履行Kerberos位的服務器(必定 – 認為Forms auth to Curb過渡).
>票證是長壽命的(10h)象征著在票證生命周期中更少的DC通訊 – 并夸大:這可以在整個生命周期內為每個客戶節儉數千到數百萬的哀求 – (AuthPersistNonNTLM依然是一件事; Kerberos PAC validation曾經經是一件事)>必要單次來回進行身份驗證,但身份驗證有用負載巨細相對于較大(平日為6-16K)(401,{(編碼)令牌巨細} 200)>可以與(請始終受約束)委派一路使用,以啟用毗鄰用戶對下一個服務的Windows身份驗證
>例如,要許可U妞妞怎麼贏serA走訪IIS,并在IIS走訪SQL Server時使用雷同的用戶帳戶,這便是“身份驗證委派”.>(在此上下文中受約束象征著“但不是其余任何器材”,例如Exchange或者其余SQL框)
>現在是商議身份驗證的首要寧靜包
>象征著Windows域成員在取得它時更喜歡它
>必要注冊SPN,這可能很辣手. Rules that help.>必要使用稱號作為方針,而不是IP地址>理由可能會掉敗:
>使用IP地址而不是稱號>沒有SPN注冊>反復注冊的SPN> SPN注冊了過錯的帳戶(KRB_ERR_AP_MODIFIED)>沒有客戶端DNS / DC毗鄰>客戶端代辦署理配置/內地Intranet地區未用于方針站點
咱們在這里:
根本
>可以多跳.然則經由過程將您的用戶名以及地下539中4碼多少錢暗碼間接裸露給方針Web運用法式來完成
>然后可以為所欲為地做任何工作.任何器材.>“哦,域治理員方才使用我的運用法式嗎?我剛讀過他們的電子郵件嗎?然后重置暗碼?Awww.Pity”
>必要傳輸層寧靜性(即TLS / SSL)以完成任何情勢的寧靜性.
>然后,請參閱上一期
>實用于任何涉獵器
>(但請望第一期)
>必要單次來回進行身份驗證(401,200)>可以在多跳場景中使用,由于Windows可以使用根本憑證履行交互式登錄
>可能必要將LogonType設置為實現此操作(認為默許環境下在2000以及2003之間變動為收集明文,但多是過錯記載)>然則再次望到第一期.>給人的印象是第一個成績真的特別很是緊張嗎?它是.
總結一下:
Curb配置起來可能很辣手,然則有大批的指南(my one)試圖簡化這個進程,而且對象在2003年到2008年間有了很大的改進(SetSPN可以搜刮反復項,這是最多見的成績; use SETSPN -S任何時辰你望到使用-A的引導,生涯會更快活.
受限定的代表團值得入場用度.

【免責聲明】本站內容轉載自互聯網,其相關談吐僅代表作者小我私家概念盡非權勢巨子,不代表本站態度。如您發明內容存在版權成績,請提交相關鏈接至郵箱:,咱們將實時予以處置。