有人知道 IIS7 的不同 Windows 身份验证提供程序是什么意思吗?有 3 个可用的提供程序
- NTLM
- 谈判
- 协商:Kerberos
NTLM 非常明显,我认为它是 NTLM 而 Negotiate 是 Kerberos 如果是这样那么 Negotiate:Kerberos 是什么?
答案1
您所看到的实际上是 Windows Server 2008 R2 中的新功能。
NTLM 和 Negotiate 与旧版 IIS 中的相同。您说 Negotiate = Kerberos 是正确的,就本讨论而言 - 但如果无法使用 Kerberos 进行身份验证,Negotiate 也可以回退到 NTLM。
2008 R2 在 IIS 中添加了一项新功能,称为“可商议 2“(在文档/博客中多次提到 Nego2)它允许新的身份验证提供程序(如 LiveID)与 IIS 协同工作。
Nego2 的另一个好处是,它允许您使用 Kerberos/Negotiate 身份验证提供程序,如果无法进行身份验证,则不会回退到 NTLM。这就是您看到的新“Negotiate:Kerberos”提供程序。
这样做的缺点是,要使用 Nego2 提供程序(包括 Negotiate:Kerberos),您必须禁用内核模式身份验证,这可能会降低性能并导致其他问题(具体取决于您的配置)。