Основной Authentcation ii с Kerberos?
Я не большая часть системного администратора, но я знаю, что PhishLabs имеет что-то о где в Реестре для выключения этого на 9,0. В комментариях другие пользователи предложили ключи для других версий. Можно найти статью здесь: http://www.phishlabs.com/blog/archives/122
Относительно того, как можно продвинуть то изменение реестра через домен, я не знаю. Если Вы узнаете, включаете его!
Я думаю, что должно делать приложение, предлагает пользователю имя пользователя и пароль, и затем использует это для аутентификации против некоторого бэкенда системы Kerberos. На данном этапе веб-приложение может исполнить роль пользователя и подключения к другим ресурсам по мере необходимости. Microsoft имеет краткую рецензию этой техники здесь.
Я не думаю, что это - прекрасная идея в целом, поскольку пользователь теперь должен доверять веб-серверу, чтобы не спрятать его пароль и/или исполнить роль его нежелательными способами. С чистой установкой Kerberos пользователь может быть уверен, что веб-сервер - то, кем он утверждает, что был и ограничил делегацию, не показывая его пароль никому. Однако брандмауэры, Интернет и различные другие факторы часто делают это привлекательным или необходимым для использования Стандартной аутентификации вместо чистого Kerberos.
Большинство веб-приложений использует стандартную аутентификацию, также известную как аутентификация на основе форм, обычно с SSL для обеспечения учетных данных. Единственное время Вы использовали бы Интегрированную аутентификацию, находится на интранет-сайте (SharePoint является известным примером чего-то, что может усилить интегрированную аутентификацию). Интегрированная аутентификация звучит фантастической, но это может быть хитро, чтобы получить работу правильно и сохранить его работающий надежно. Аутентификация на основе форм обычно более надежна.
Веб-сервер берет учетные данные, предоставленные пользователем, и проходит проверку подлинности с Active Directory на их использовании имени... Kerberos. Если веб-приложение должно исполнить роль пользователя и ресурсов доступа, внешних к серверу IIS (общий сценарий), аутентификация Kerberos требуется. (Т.е. аутентификация NTLM не будет работать в том сценарии олицетворения).