2

私の理解では、NTLM はチャレンジ レスポンス プロトコルですが、Kerberos はチケットを渡します。私が遭遇するほとんどの情報は、NTLM が応答とチャレンジを転送できない理由を説明せずに、これが Kerberos がダブルホップできるが NTLM ができない理由であると言っています。

つまり、なぜこのシナリオが不可能なのか:

クライアントはフロントエンド サーバーで認証を行います。その後、フロントエンド サーバーは、クライアントに代わってバックエンド サーバーで認証する必要があります。フロントエンドは認証を試みてユーザー名を送信し、バックエンドはフロントエンドにチャレンジを発行し、フロントエンドはこのチャレンジをクライアントに転送し、クライアントは応答を発行し、フロントエンドはこの応答を転送します。バックエンドへ。

このように機能しないことはわかっていますが、詳細が気になります。サーバーが応答とチャレンジを転送して、ダブル ホップを許可できないのはなぜですか?

ありがとう。

4

2 に答える 2

1

仲介者を介してチャレンジ/レスポンスメッセージを転送することは可能ですが、あなたが説明していることは不可能です。あなたが説明したのは、実際にはダブルホップ認証ではありません.1つのセッションを2回認証しようとしています。NTLM はセッションを認証し、クライアントは既に認証されたセッションを再認証するべきではありません。

つまり、クライアントが「フロントエンドサーバー」で認証された後の例では、そのフロントエンドサーバーは新しいチャレンジを送信できませんでした。

于 2013-11-11T20:48:16.707 に答える