Testen, dass eine Website Kerberos-Authentifizierung verwendet

StackOverflow https://stackoverflow.com/questions/316384

  •  11-07-2019
  •  | 
  •  

Frage

Wie gehen Sie bei der Überprüfung, dass eine IIS-Website erfolgreich Kerberos verwendet, und nicht zurück auf NTLM fallen?

War es hilfreich?

Lösung 3

Eine Möglichkeit, die ich in den Code testen gefunden, die Sie Kerberos verwenden, ist, dass die HTTP_AUTHORIZATION Header für NTLM beginnt immer mit dem folgenden: 

Negotiate TlRMTVNTUA

Wenn der Header nicht mit Text startet dann der Browser der Authentifizierung mit Kerberos.

Andere Tipps

Fiddler2 zeigt an, ob die Authentifizierung Header NTLM vs Kerberos ist. 

    Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F  `.{..+..... .o

    WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A  ¡ 0 ....¡...*

Der einfachste Weg, den ich denken kann, ist wireshark zu verwenden, um die Netzwerkpakete zu beobachten und überprüfen, ob Ihr IIS-Server Kerberos Tickets von Ihrem DC anfordert.

Sie können prüfen, das Sicherheitsprotokoll in der Ereignisanzeige des Web-Servers.

Sie können auch starten KerbTray auf dem Client-Rechner und überprüfen, ob es die richtige SPN ist verwenden. Kerbtray ist verfügbar hier (keine Sorge, es ist nicht nur Win2000).

Ich benutze das Sicherheitsprotokoll in der Ereignisanzeige, wie jemand überprüfen bereits erwähnt. Hier ist eine erfolgreiche Bordsteinkante Auth: 

Successful Network Logon:
User Name:  {Username here}
Domain:     {Domain name here}
Logon ID:   (0x0,0x########)
Logon Type: 3
Logon Process:  Kerberos
Authentication Package: Kerberos
Workstation Name:   
Logon GUID: {########-####-####-####-############}
Caller User Name:   -
Caller Domain:  -
Caller Logon ID:    -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port:    -


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Nun, auch Verhandeln Kerberos sein kann, weil es ein Wrapper über Kerberos und NTLM. Wie andere Jungs gesagt, Wireshark (oder Network Monitor) und Security wird nicht Ereignisprotokoll Sie betrügen.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top