Проверенная Windows (NTLM) аутентификация и интегрированная Windows (Kerberos)

В чем разница между аутентификацией Windows (NTLM) и интегрированной Windows (Kerberos)?

Как реализовать их в IIS6

w.r.t. MSDN

Ответ 1

здесь хорошая ссылка:

http://msdn.microsoft.com/en-us/library/aa480475.aspx

Также это покажет вам, включен ли kerberos (Negotiate) (на вашем веб-сервере):

cscript adsutil.vbs get w3svc/nnn/NTAuthenticationProviders

ПРИМЕЧАНИЕ: nnnn - это идентификатор сайта MetaBase

в прошлом kerberos вызвало у меня несколько проблем (когда у пользователей слишком много разрешений), что привело к ошибкам "400 Bad Request"

см: http://blogs.technet.com/b/surama/archive/2009/04/06/kerberos-authentication-problem-with-active-directory.aspx

Ответ 2

Kerberos и NTLM - это разные алгоритмы для проверки пароля пользователя, не отображая пароль для сервера. Подробнее о NTLM и Kerberos в Википедии.

Если вы включите проверку подлинности Windows, Kerberos, как правило, будет предпочтительнее, и если он недоступен, он вернется к NTLM.

  • Для проверки подлинности NTLM требуется только клиент для связи с веб-сервером. Веб-сервер обрабатывает связь с контроллером домена. Это преимущество с общедоступными сайтами, где DC не может быть достигнут из Интернета. К сожалению, криптография, используемая NTLM, устарела и больше не может считаться безопасной. NTLM следует использовать только через https.
  • Kerberos требует, чтобы клиент получил билет от контроллера домена, что делает его более подходящим для сценариев интрасети. Однако Kerberos более безопасен и может обрабатывать делегирование, когда веб-сервер может обращаться к другим ресурсам (например,) файловому серверу, используя идентификатор клиента.

Ответ 3

NTLM (Windows Challenge/Response) - это протокол проверки подлинности, используемый в сетях, включающих системы, работающие под управлением операционной системы Windows и автономные системы. Учетные данные NTLM основаны на данных, полученных в процессе интерактивного входа в систему, и состоят из имени домена, имя пользователя и односторонний хэш пароля пользователя.

Kerberos - это протокол проверки подлинности компьютерной сети, который работает на основе билетов, чтобы позволить узлам, обменивающимся информацией через незащищенную сеть, доказывать свою идентичность друг другу безопасным способом. Он работает на основе модели клиент-сервер и обеспечивает взаимная аутентификация - как пользователь, так и сервер проверяют друг друга.

Обратитесь к приведенным ниже ссылкам, чтобы получить четкую информацию.

http://msdn.microsoft.com/en-us/library/windows/desktop/aa378749(v=vs.85).aspx

http://technet.microsoft.com/en-us/library/cc780469(v=ws.10).aspx

http://windowsitpro.com/security/comparing-windows-kerberos-and-ntlm-authentication-protocols

Ответ 4

Kerberos можно рассматривать как лучший вариант, чем NTLM:
 1. Быстрая аутентификация
 2. Взаимная аутентификация
 3. Kerberos - открытый стандарт
 4. Поддержка делегирования аутентификации

Следующая ссылка - лучший ответ, который я исследовал по этой теме:

Сравнение протоколов проверки подлинности Windows Kerberos и NTLM