Windows集成(NTLM)身份验证vs Windows集成(Kerberos)

本文关键字:Windows 集成 Kerberos vs NTLM 身份验证 | 更新日期: 2023-09-27 18:02:49

Windows集成(NTLM)认证和Windows集成(Kerberos)认证有什么区别?

如何在IIS6中实现这些

关于MSDN

Windows集成(NTLM)身份验证vs Windows集成(Kerberos)

Kerberos和NTLM是验证用户密码的不同算法,无需向服务器透露密码。更多关于NTLM和Kerberos的信息请参见Wikipedia。

如果您启用了Windows身份验证,Kerberos通常是首选,如果Kerberos不可用,它将返回到NTLM。

  • NTLM仅要求客户端与web服务器通信以进行身份验证。web服务器处理与域控制器的通信。对于无法从Internet访问数据中心的公共站点来说,这是一个优势。不幸的是,NTLM使用的加密技术已经过时,不再被认为是安全的。NTLM只能通过https使用。
  • Kerberos要求客户机从域控制器获得票据,这使得它更适合内部网场景。然而,Kerberos更安全,并且可以处理委托,其中web服务器可以使用客户端的身份访问其他资源(例如,文件服务器)。

这是一个很好的链接:

http://msdn.microsoft.com/en-us/library/aa480475.aspx

这还将显示kerberos (Negotiate)是否打开(在您的web服务器上):

cscript adsutil.vbs get w3svc/nnn/NTAuthenticationProviders

注意:nnnn是MetaBase的站点id

在过去kerberos给我带来了一些问题(当用户拥有太多权限时),导致'400 Bad Request'错误

看:http://blogs.technet.com/b/surama/archive/2009/04/06/kerberos-authentication-problem-with-active-directory.aspx

NTLM (Windows质询/响应)是在网络上使用的身份验证协议,包括运行Windows操作系统的系统和独立系统。NTLM凭据基于交互式登录过程中获得的数据,由域名、用户名和用户密码的单向散列组成。

Kerberos是一种计算机网络身份验证协议,它基于票据工作,允许在非安全网络上通信的节点以安全的方式向彼此证明其身份。它基于客户机-服务器模型工作,并提供相互认证——用户和服务器都验证对方的身份。

请参考以下链接以获得更清晰的信息。

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378749 (v = vs.85) . aspx

http://technet.microsoft.com/en-us/library/cc780469 (v = ws.10) . aspx

http://windowsitpro.com/security/comparing-windows-kerberos-and-ntlm-authentication-protocols

Kerberos可以被认为是比NTLM更好的选择:
1. 更快的认证
2. 相互认证
3.Kerberos是一个开放标准
4. 支持身份验证委托

以下链接是我研究这个话题的最佳答案:

比较Windows Kerberos和NTLM认证协议

相关文章: