اختبار أن الموقع يستخدم مصادقة Kerberos
https://stackoverflow.com/questions/316384
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
وكيف يمكنك أن تذهب نحو التأكد من أن موقع على شبكة IIS بنجاح باستخدام Kerberos و عدم الوقوع مرة أخرى على NTLM؟
المحلول 3
وطريقة واحدة وجدت لاختبار في التعليمات البرمجية التي تقوم باستخدام Kerberos هي أن أن رأس HTTP_AUTHORIZATION لNTLM يبدأ دائما مع ما يلي:
Negotiate TlRMTVNTUA
إذا لم يبدأ رأس مع النص ثم المتصفح تم مصادقة باستخدام Kerberos.
نصائح أخرى
Fiddler2 سيشير إذا كان رأس المصادقة NTLM مقابل كيربيروس.
Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F `.{..+..... .o
WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A ¡ 0 ....¡...*
وأسهل طريقة يمكنني أن أفكر في استخدام يريشارك لمشاهدة حزم الشبكة والتحقق من ذلك الملقم IIS الذي يطالب به تذاكر Kerberos من DC الخاص بك.
ويمكنك التحقق من سجل الأمان في عارض الأحداث من خادم الويب.
ويمكنك أيضا إطلاق KerbTray على جهاز العميل وتحقق ما اذا كان استخدام SPN الصحيح. Kerbtray هو متاح هنا (لا تقلق، انها ليست نظامي التشغيل Win2000 فقط).
وأنا استخدم سجل الأمان في عارض الأحداث للتحقق كمن سبق ذكرها. هنا هو المصادقة كبح ناجحة:
Successful Network Logon:
User Name: {Username here}
Domain: {Domain name here}
Logon ID: (0x0,0x########)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:
Logon GUID: {########-####-####-####-############}
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
حسنا، يمكن أيضا أن تكون كيربيروس التفاوض، لأنه هو مجمع على Kerberos و NTLM. كما قال بقية اللاعبين، وإيثار ريال (أو شبكة راصد) والأمن سجل الأحداث لا خداعك.
