Даже в местах с 20 + администраторы и 12 + рабочий стол techs администраторы заканчивает тем, что делал поддержку настольных систем, когда вещи должны быть наращены. Человек, устанавливающий приложение, должен ожидать понимать их целое приложение и не, как запустить установщик и сделать несколько задач очистки.
Вы никогда полностью выходите из поддержки настольных систем как администратор. Всегда будут новые случайные вещи, которые повреждают и требуют внимания кого-то с лучшим пониманием того, что продолжается.
С точки зрения Windows только:
MaxConcurrentAPI
, AuthPersistSingleRequest
(ложь), более быстрый DCS.) (Самосправочная премия.)lmcompatibilitylevel
)смогший, чтобы пересечь прокси, но видеть, что DC указывает выше: все еще необходимо быть в той же сети как активный DC, как делает сервер.
билет является долговечным (10-м) значением меньше коммуникации DC в течение времени жизни билета - и подчеркнуть: это могло сохранить тысячи к миллионам запросов на клиент за то время жизни - (AuthPersistNonNTLM
все еще вещь; Kerberos проверка PAC раньше был вещью),
UserA
получить доступ к IIS и использовать ту же самую учетную запись пользователя, когда SQL Server доступов IIS, это - "делегация аутентификации".KRB_ERR_AP_MODIFIED
)В то время как мы в нем:
LogonType
быть настроенным для выполнения этого (думают значение по умолчанию, измененное на сетевой открытый текст между 2000 и 2003, но мог бы быть misremembering),Подводя итоги:
Обочина может быть хитрой для установки, но существуют загрузки руководств (мой одно) там, что попытка упростить процесс и инструменты улучшилась значительно с 2003 до 2008 (SetSPN
может искать дубликаты, который является наиболее распространенной проблемой повреждения; использовать SETSPN -S
каждый раз, когда Вы видите руководство для использования-A, и жизнь будет более счастливой).
Ограниченное делегирование стоит стоимости подтверждения.
Другой подход должен был бы установить аутентификацию на negotiate
и используйте обоих, а не один вместо другого.
Kerberos требуется, если необходимо исполнить роль пользователя для доступа к ресурсам, которые не находятся на iis сервере.
Из Microsoft Application Verifier , который обнаруживает типичные ошибки разработчиков. Одна из этих ошибок - использование NTLM :
NTLM - устаревший протокол аутентификации с недостатками, которые потенциально поставить под угрозу безопасность приложений и система. Самый главный недостаток - отсутствие сервера. аутентификация, которая может позволить злоумышленнику обмануть пользователей подключение к поддельному серверу. Как следствие отсутствия сервера аутентификации, приложения, использующие NTLM, также могут быть уязвимы для тип атаки, известный как атака «отражения». Последнее позволяет злоумышленник, чтобы перехватить диалог аутентификации пользователя с законный сервер и использовать его для аутентификации злоумышленника на компьютер пользователя. Уязвимости NTLM и способы их использования являются целью повышения исследовательской активности в сфере безопасности
Хотя Kerberos уже много лет доступен, многие приложения все еще написаны для использования только NTLM. Это без нужды снижает безопасность приложений. Однако Kerberos не может полностью заменить NTLM. сценарии - в основном те, в которых клиенту необходимо пройти аутентификацию для системы, которые не присоединены к домену (возможно, домашняя сеть самый распространенный из них). Пакет безопасности Negotiate позволяет компромисс с обратной совместимостью, который по возможности использует протокол Kerberos и возвращается к NTLM только тогда, когда нет другого варианта. Код переключения использование Negotiate вместо NTLM значительно увеличит безопасность для наших клиентов при небольшом или полном отсутствии приложений совместимость. Переговоры сами по себе - не серебряная пуля. это случаи, когда злоумышленник может принудительно перейти на NTLM, но это значительно труднее эксплуатировать. Однако одно немедленное улучшение состоит в том, что приложения, написанные для правильного использования Negotiate автоматически невосприимчивы к атакам отражения NTLM.
В качестве последнего слова предостережения против использования NTLM: в будущем версии Windows можно будет отключить использование NTLM в операционная система. Если приложения жестко зависят от NTLM они просто не смогут пройти аутентификацию, когда NTLM отключен.
Вы должны добавить очень важный момент:
Kerberos был стандартным и открытым протоколом в Unix более 20 лет, тогда как NTLM - это чисто проприетарное решение от Microsoft, известное только Microsoft.