SSPI が「ネゴシエート モード」にある場合、NTLM がお気に入りのようです (レガシー ストーリー)。しかし、いつ、なぜ SSPI が Kerberos を検討 (および選択) するのでしょうか?
(私が見る限り、クライアントとサーバーが同じマシン上にある場合、NTLMが選択されます)
1 に答える
0
Kerberos は NTLM よりも優先され、可能な限り使用されます。
- クライアント マシンが Active Directory にログインしている
- クライアント マシンは DNS にアクセスできます
- DNS には A レコード (CNAME エイリアスではない) が含まれています - クライアントがアクセスしたいサーバー (前方と後方の両方) のため、Web ブラウザーはそれを正しい SPN に変換できます
- 重複する SPN はありません
- Web サーバーは、クライアントの Web ブラウザーとは別のマシンで実行されます
- 両方のマシンがサポートする少なくとも 1 つのエンコーディング タイプが必要です (krb5.ini で定義)。
于 2014-04-01T14:06:28.097 に答える