Я хочу установить доверительные отношения Kerberos между MIT Kerberos5 и Active Directory. Однако в моей старой книге по Kerberos 2003 года отмечалось, что «есть несколько приложений, особенно Microsoft Exchange (2000 и ниже), которые все еще используют старую аутентификацию в стиле NTLM».
К счастью, мы не используем MS Exchange, но есть опасения, что мы можем пропустить важный вариант использования, который не поддерживает Kerberos. Я знаю, что другие организации в нашей отрасли сделали аналогичную настройку, и я знаю, что они нашли обходные пути для этого, но я не нашел хорошего списка приложений, которые вызывали у них проблемы. Может ли сообщество ServerFault помочь мне здесь? Приветствуются даже анекдотические свидетельства.
ИЗМЕНИТЬ 1: API-интерфейсы Active Directory требуют, чтобы изменения пароля доставлялись в виде открытого текста, а не хешей.. Мы хотели бы удалить это требование из нашей инфраструктуры аутентификации, создав область MIT для аутентификации пользователей. Есть несколько вариантов использования, которые могут облегчить жизнь службы поддержки, но будет сложно заставить других людей в ИТ согласиться на изменение, если оно нарушит работу каких-либо приложений.
Все, что делает Microsoft (IIS, SMB2, Exchange и т. Д.), В настоящее время поддерживает Kerberos. А если вы не в какой-то области, есть еще кое-что. Какие службы сторонних производителей, которые вы сейчас используете на стороне Windows, вызывают у вас беспокойство?
Если бы у вас был список каждого двухбитного приложения с десятью пользователями, он, скорее всего, поддерживал бы немногим больше, чем жестко закодированные пароли. А более крупные приложения обычно работают с ОС для аутентификации; в этом случае следует поддерживать Kerberos.
У вас есть более конкретный вариант использования?
Я не уверен, что это за книга, но Outlook / Exchange может использовать Kerberos. Возможно использовать NTLM, возможно, они имели в виду именно это.
Также обратите внимание, что Windows Server 2003 IIS может использовать Kerberos, но в случае неудачи попытается выполнить NTLM. На самом деле нет ничего, что можно было бы сделать для предотвращения этого, кроме использования настраиваемого модуля HTTP, и может быть удручающе неочевидно, какой механизм аутентификации используется.
Я считаю, что Windows 2008 R2 IIS представила новый протокол Nego2, который обеспечивает более тонкую детализацию управления механизмами проверки подлинности (Kerberos и без NTLM).
http://blogs.iis.net/mailant/archive/2009/01/11/iis7-in-windows-server-2008-r2.aspx