[英]Configuring Encryption Algorithm for WCF in Active Directory Domain
方案:使用NetTcp,傳輸安全性和Windows身份驗證在Active Directory域上運行的WCF客戶端/服務器應用程序。 我了解SSPI在后台如何工作,默認情況下它如何進行傳輸層加密。 據我了解,在域中配置了加密參數(例如什么算法)。
問題:在這種情況下,如何配置Active Directory域以使用不同的算法? 我不一定要我的應用指定特定的算法; 對於這種情況下的Windows身份驗證,我感到很滿意。 但是,我需要能夠告訴客戶如何配置其策略以使用他們選擇的算法,或者至少要研究其策略以確定他們今天使用的算法。
需要說明的是:我不想使用證書身份驗證。 我真的很想保留Windows身份驗證。
由於kerberos是與Active Directory一起使用的默認身份驗證協議方法,因此我將重點介紹調整(如果需要)用於Kerberos的加密方法。 從Windows 2008 R2 活動目錄開始 , AES256-SHA1已成為Kerberos的默認加密算法。 盡管使用SSPI Windows身份驗證,但ntlm可能是所使用的身份驗證協議,在2018年今天這種可能性很小。
要告訴您使用哪種身份驗證和加密方法,以及是否使用Windows 10,請從命令提示符下鍵入: klist 。 輸出將顯示連接的資源以及使用的加密方法。 如果您通過SSO連接到網絡資源,但在klist輸出中看不到匹配的Kerberos票證,則表示已使用NTLM。 使用Wireshark之類的網絡捕獲工具進行確認。
要將Kerberos策略配置為使用特定的加密算法,請執行以下操作:
參考: 網絡安全:配置僅適用於Kerberos Win7的加密類型 。 注意:文章僅說Win7,但它也適用於Windows 8和Windows 10。
注意:由於您說的是不使用證書身份驗證,因此類似TLS的問題在這里將不適用。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.