我想在 MIT Kerberos5 和 Active Directory 之间建立 Kerberos 信任。但是,我 2003 年出版的旧 Kerberos 书中指出,“有多个应用程序,尤其是 Microsoft Exchange(2000 及以下版本),仍然使用较旧的 NTLM 样式身份验证。”
幸运的是,我们不使用 MS Exchange,但担心我们可能会错过 Kerberos 不支持的重要用例。我知道我们行业中的其他组织也做过类似的设置,我知道他们已经找到了解决方法,但我还没有找到给他们带来问题的应用程序列表。ServerFault 社区能帮我解决这个问题吗?即使是轶事证据也值得赞赏。
编辑1:Active Directory 的 API 要求以纯文本形式(而不是哈希形式)传递密码更改我们希望通过建立 MIT 用户身份验证领域来消除身份验证基础设施中的这一要求。有些用例可能会让帮助台的工作变得更轻松,但如果这会破坏任何应用程序,那么很难让 IT 部门的其他人同意进行更改。
答案1
我不确定那是哪本书,但 Outlook/Exchange 可以使用 Kerberos。可以使用 NTLM,也许他们的意思就是这样。
还要注意,Windows Server 2003 IIS 可以使用 Kerberos,但如果不成功,它将尝试 NTLM。除了使用自定义 HTTP 模块之外,实际上没有什么可以阻止这种情况,而且令人沮丧的是,使用哪种身份验证机制并不明显。
我相信 Windows 2008 R2 IIS 引入了一种新协议 Nego2,它可以对身份验证机制(Kerberos 和无 NTLM)进行更细粒度的控制。
http://blogs.iis.net/mailant/archive/2009/01/11/iis7-in-windows-server-2008-r2.aspx
答案2
如今,微软所做的一切(IIS、SMB2、Exchange 等)都支持 Kerberos。如果您不在域中,则可以使用其他方法。您目前在 Windows 端运行的哪些非 Microsoft 服务让您感到担心?
如果您有一份包含 10 个用户的所有廉价应用程序的列表,那么大多数应用程序可能仅支持硬编码密码。大型应用程序通常使用操作系统进行身份验证;在这种情况下,应该支持 Kerberos。
您有更具体的用例吗?