Может ли поставщик членства AD быть настроен на использование Kerberos

Question

У меня есть веб-приложение, в котором используется поставщик членства в Active Directory, и когда пользователь меняет свой пароль, он может на некоторое время войти в систему со старым или новым паролем.

Эта статья базы знаний (http://support.microsoft.com/kb/906305/en-us) наводит меня на мысль, что это поведение вызвано аутентификацией NTLM.

Есть ли способ настроить поставщика членства AD для выполнения только аутентификации Kerberosа не NTLM?

ПРИМЕЧАНИЕ. Мое приложение настраивает поставщика с минимальным набором параметров, поэтому для каждого параметра конфигурации устанавливается значение по умолчанию.

Answer 1

Не похоже, что вы можете изменить используемый метод. Странно, что оба пароля будут работать, если только учетные данные не кэшируются локально, как если бы это была отключенная машина (аналогично тому, что происходит, когда вы отключаете компьютер от домена и входите в него). Это не похоже на то, что делает сам провайдер, если только провайдер не кэширует учетные данные. Я ничего не видел для истечения срока действия полномочий, что заставляет меня верить, что он этого не делает.

Звучит странно, что они могли войти в систему с обоими паролями, я ожидаю, что один или другой будет работать, в зависимости от задержки репликации GC между контроллерами домена или чем-то в этом направлении.