Проверка того, что веб-сайт использует аутентификацию Kerberos - PullRequest
Новая
       28

Проверка того, что веб-сайт использует аутентификацию Kerberos

3 голосов
/ 25 ноября 2008

Как вы можете проверить, что веб-сайт IIS успешно использует Kerberos и не использует NTLM?

Ответы [ 6 ]

4 голосов
/ 03 марта 2009

Fiddler2 укажет, является ли заголовок аутентификации NTLM против Kerberos. 

    Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F  `.{..+..... .o

    WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A  ¡ 0 ....¡...*
3 голосов
/ 26 ноября 2008

Я нашел способ проверить в коде, который вы используете Kerberos, что HTTP_AUTHORIZATION заголовок для NTLM всегда начинается со следующего: 

Negotiate TlRMTVNTUA

Если заголовок не начинается с текста, браузер аутентифицируется с использованием Kerberos.

3 голосов
/ 25 ноября 2008

Самым простым способом, который я могу придумать, является использование wireshark для просмотра сетевых пакетов и проверки того, что ваш IIS-сервер запрашивает билеты Kerberos с вашего DC.

1 голос
/ 03 марта 2009

Я использую журнал безопасности в окне просмотра событий, чтобы проверить, как кто-то уже упоминал. Вот успешная проверка подлинности: 

Successful Network Logon:
User Name:  {Username here}
Domain:     {Domain name here}
Logon ID:   (0x0,0x########)
Logon Type: 3
Logon Process:  Kerberos
Authentication Package: Kerberos
Workstation Name:   
Logon GUID: {########-####-####-####-############}
Caller User Name:   -
Caller Domain:  -
Caller Logon ID:    -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port:    -


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
1 голос
/ 25 ноября 2008

Вы можете проверить журнал безопасности в программе просмотра событий веб-сервера.

Вы также можете запустить KerbTray на клиентском компьютере и проверить, использует ли он правильный SPN. Kerbtray доступен здесь здесь (не волнуйтесь, это не только Win2000).

0 голосов
/ 29 ноября 2008

Ну, договориться также может быть Kerberos, потому что это оболочка над Kerberos и NTLM. Как говорили другие парни, Wireshark (или Network Monitor) и журнал событий безопасности не будут обманывать вас.

...