Интегрированная проверка подлинности Windows (NTLM) и встроенная проверка подлинности Windows (Kerberos)

Question

В чем разница между встроенной проверкой подлинности Windows (NTLM) и встроенной проверкой Windows (Kerberos)?

Как реализовать это в IIS6

по MSDN

Answer 1

Kerberos и NTLM - это разные алгоритмы для проверки пароля пользователя, не раскрывая пароль на сервере.Больше информации о NTLM и Kerberos в Википедии.

Если вы включите аутентификацию Windows, обычно предпочтение будет отдано Kerberos, а если оно недоступно, оно перейдет на NTLM.

• NTLM требует, чтобы клиент только взаимодействовал с веб-сервером для аутентификации.Веб-сервер обрабатывает связь с контроллером домена.Это является преимуществом для общедоступных сайтов, где DC не может быть доступен из Интернета.К сожалению, криптография, используемая NTLM, устарела и больше не может считаться безопасной.NTLM должен использоваться только через https.
• Kerberos требует, чтобы клиент получил билет от контроллера домена, что делает его более подходящим для сценариев интрасети.Kerberos, однако, более безопасен и может обрабатывать делегирование, когда веб-сервер может обращаться к другим ресурсам (например, к файловому серверу, используя идентификатор клиента.

Answer 2

вот хорошая ссылка:

http://msdn.microsoft.com/en-us/library/aa480475.aspx

Также это покажет вам, если Kerberos (переговоры) включен (на вашем веб-сервере):

cscript adsutil.vbs get w3svc/nnn/NTAuthenticationProviders

ПРИМЕЧАНИЕ: nnnn - это идентификатор сайта MetaBase

в прошлом Kerberos вызывал у меня несколько проблем (когда у пользователей слишком много разрешений), приводящих к ошибкам «400 Bad Request»

см: http://blogs.technet.com/b/surama/archive/2009/04/06/kerberos-authentication-problem-with-active-directory.aspx

Answer 3

Kerberos может считаться лучшим вариантом, чем NTLM:
1. Быстрая аутентификация
2. Взаимная аутентификация
3. Kerberos - это открытый стандарт
4. Поддержка аутентификации делегирования

Следующая ссылка является лучшим ответом, поскольку я исследовал эту тему:

Сравнение протоколов проверки подлинности Windows Kerberos и NTLM

Answer 4

NTLM (Windows Challenge / Response) - это протокол аутентификации, используемый в сетях, которые включают системы с операционной системой Windows и в автономных системах. Учетные данные NTLM основаны на данных, полученных в процессе интерактивного входа в систему, и состоят из имени домена , имя пользователя и односторонний хэш пароля пользователя.

Kerberos - это протокол аутентификации компьютерной сети, который работает на основе билетов, позволяющих узлам, обменивающимся данными по незащищенной сети, безопасно доказывать свою идентичность друг другу. Он работает на основе модели клиент-сервер и обеспечивает взаимная аутентификация - и пользователь, и сервер проверяют подлинность друг друга.

Обратитесь по ссылкам ниже, чтобы получить четкую информацию.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378749(v=vs.85).aspx

http://technet.microsoft.com/en-us/library/cc780469(v=ws.10).aspx

http://windowsitpro.com/security/comparing-windows-kerberos-and-ntlm-authentication-protocols