IIS7 Windows 身份验证提供程序

IIS7 Windows 身份验证提供程序

有人知道 IIS7 的不同 Windows 身份验证提供程序是什么意思吗?有 3 个可用的提供程序

  1. NTLM
  2. 谈判
  3. 协商:Kerberos

NTLM 非常明显,我认为它是 NTLM 而 Negotiate 是 Kerberos 如果是这样那么 Negotiate:Kerberos 是什么?

答案1

您所看到的实际上是 Windows Server 2008 R2 中的新功能。

NTLM 和 Negotiate 与旧版 IIS 中的相同。您说 Negotiate = Kerberos 是正确的,就本讨论而言 - 但如果无法使用 Kerberos 进行身份验证,Negotiate 也可以回退到 NTLM。

2008 R2 在 IIS 中添加了一项新功能,称为“可商议 2“(在文档/博客中多次提到 Nego2)它允许新的身份验证提供程序(如 LiveID)与 IIS 协同工作。

Nego2 的另一个好处是,它允许您使用 Kerberos/Negotiate 身份验证提供程序,如果无法进行身份验证,则不会回退到 NTLM。这就是您看到的新“Negotiate:Kerberos”提供程序。

这样做的缺点是,要使用 Nego2 提供程序(包括 Negotiate:Kerberos),您必须禁用内核模式身份验证,这可能会降低性能并导致其他问题(具体取决于您的配置)。

相关内容