测试网站是否使用Kerberos身份验证
[英]Testing that a website is using Kerberos authentication
问题描述
您如何检查IIS网站是否成功使用Kerberos而不是退回NTLM?
6 个解决方案
解决方案1
4 2009-03-03 03:58:19
Fiddler2将指示身份验证标头是否为NTLM vs Kerberos。
Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F `.{..+..... .o
WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A ¡ 0 ....¡...*
解决方案2
3 2008-11-25 04:58:17
我能想到的最简单的方法是使用wireshark来监视网络数据包并验证您的IIS服务器是否正在从您的DC请求Kerberos票证。
解决方案3
3 已采纳 2008-11-25 23:24:27
我发现在代码中测试您正在使用Kerberos的一种方法是NTLM的HTTP_AUTHORIZATION标头始终以以下内容开头:
Negotiate TlRMTVNTUA
如果标头不以文本开头,则浏览器使用Kerberos进行身份验证。
解决方案4
1 2008-11-25 07:01:09
您可以在Web服务器的事件查看器中检查安全日志。
您还可以在客户端计算机上启动KerbTray,并检查它是否使用了正确的SPN。 Kerbtray 在这里可用(别担心,它不仅仅是Win2000)。
解决方案5
1 2009-03-03 04:09:28
我使用事件查看器中的安全日志来检查已经提到过的人。 这是一个成功的路边认证:
Successful Network Logon:
User Name: {Username here}
Domain: {Domain name here}
Logon ID: (0x0,0x########)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {########-####-####-####-############}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
解决方案6
0 2008-11-29 11:31:07
好吧,Negotiate也可以是Kerberos,因为它是Kerberos和NTLM的包装器。 像其他人一样说,Wireshark(或网络监视器)和安全事件日志不会欺骗你。
Kerberos双跳之类的问题-即使不使用Windows身份验证
[英]Kerberos Double hop like issue - even when not using Windows Authentication
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
在 .NET 核心中使用带有 WebAPI 的 kerberos 身份验证
如何使用Kerberos连接到IIS网站
Kerberos双跳之类的问题-即使不使用Windows身份验证
windows身份验证:negotiate,ntlm和kerberos
在Azure WebApp / Website中使用Windows身份验证
使用Kerberos和LDAP
IIS 7-启用和删除Kerberos和NTLM身份验证
Windows身份验证-Kerberos或NTLM(协商oYICO…)
IIS 7 Windows 服务器 2012 中的 Kerberos 身份验证
无法使用 Windows 身份验证 IIS 登录网站
相关标签