Известные сервисы, которые не используют аутентификацию Kerberos?

Question

Известные сервисы, которые не используют аутентификацию Kerberos?

Я ищу, чтобы установить доверие Kerberos между MIT Kerberos5 и Active Directory. Однако в моей старой книге Kerberos от 2003 года отмечалось, что "есть несколько приложений, в частности Microsoft Exchange (2000 и ниже), которые все еще используют более старую аутентификацию в стиле NTLM".

К счастью, мы не используем MS Exchange, но есть опасения, что мы можем пропустить важный вариант использования, который не поддерживает Kerberos. Я знаю, что другие организации в нашей отрасли сделали подобную настройку, и я знаю, что они нашли обходные пути для этого, но я не нашел хорошего списка приложений, которые доставляли им проблемы. Может ли сообщество ServerFault помочь мне здесь? Даже неофициальные доказательства приветствуются.

РЕДАКТИРОВАТЬ 1: API-интерфейсы для Active Directory требуют, чтобы изменения пароля передавались в виде открытого текста, а не хэшей. Мы хотели бы удалить это требование из нашей инфраструктуры аутентификации, поддерживая область MIT для аутентификации пользователей. Существуют некоторые варианты использования, которые могут упростить жизнь службе поддержки, но было бы трудно заставить других людей в ИТ согласиться на изменение, если оно сломает какие-либо приложения.

3

active-directory kerberos mitkerberos

Источник

jldugger 29 июл '11 в 18:57

2 ответа

Другие вопросы по тегам active-directory kerberos mitkerberos

Greg Askew 29 июл '11 в 23:34 2011-07-29 23:34 · Answer 1 · 2011-07-29 23:34

Я не уверен, что это за книга, но Outlook/Exchange может использовать Kerberos. Можно использовать NTLM, возможно, они имели в виду это.

Также обратите внимание, что Windows Server 2003 IIS может использовать Kerberos, но в случае неудачи попытается выполнить NTLM. На самом деле нет ничего, что можно было бы сделать, чтобы предотвратить это, кроме использования специального модуля HTTP, и может быть досадно неясно, какой механизм аутентификации используется.

Я считаю, что в Windows 2008 R2 IIS появился новый протокол Nego2, который обеспечивает более тонкую детализацию управления механизмами аутентификации (Kerberos и отсутствие NTLM).

http://blogs.iis.net/mailant/archive/2009/01/11/iis7-in-windows-server-2008-r2.aspx

введите описание изображения здесь

Michael Lowman 29 июл '11 в 19:59 2011-07-29 19:59 · Answer 2 · 2011-07-29 19:59

Все, что делает Microsoft (IIS, SMB2, Exchange и т. Д.), В настоящее время поддерживает Kerberos. И если вы не находитесь в домене, есть прорыв к чему-то другому. Какие службы сторонних производителей вы сейчас используете на стороне Windows, о которых вы беспокоитесь?

Если бы у вас был список каждого двухбитного приложения с десятью пользователями, вполне вероятно, что большинство из них будет поддерживать чуть больше, чем жестко запрограммированные пароли. И большие приложения обычно работают с ОС для аутентификации; в этом случае Kerberos должен поддерживаться.

У вас есть более конкретный вариант использования?