私の理解では、NTLM はチャレンジ レスポンス プロトコルですが、Kerberos はチケットを渡します。私が遭遇するほとんどの情報は、NTLM が応答とチャレンジを転送できない理由を説明せずに、これが Kerberos がダブルホップできるが NTLM ができない理由であると言っています。
つまり、なぜこのシナリオが不可能なのか:
クライアントはフロントエンド サーバーで認証を行います。その後、フロントエンド サーバーは、クライアントに代わってバックエンド サーバーで認証する必要があります。フロントエンドは認証を試みてユーザー名を送信し、バックエンドはフロントエンドにチャレンジを発行し、フロントエンドはこのチャレンジをクライアントに転送し、クライアントは応答を発行し、フロントエンドはこの応答を転送します。バックエンドへ。
このように機能しないことはわかっていますが、詳細が気になります。サーバーが応答とチャレンジを転送して、ダブル ホップを許可できないのはなぜですか?
ありがとう。