Prueba de que un sitio web está utilizando autenticación Kerberos

StackOverflow https://stackoverflow.com/questions/316384

  •  11-07-2019
  •  | 
  •  

Pregunta

¿Cómo se hace para verificar que un sitio web de IIS esté usando Kerberos con éxito y no retroceda en NTLM?

¿Fue útil?

Solución 3

Una forma en que encontré probar en el código que está usando Kerberos es que el encabezado HTTP_AUTHORIZATION para NTLM siempre comienza con lo siguiente: 

Negotiate TlRMTVNTUA

Si el encabezado no comienza con texto, el navegador se está autenticando con Kerberos.

Otros consejos

Fiddler2 indicará si el encabezado de autenticación es NTLM frente a Kerberos. 

    Authorization Header (Negotiate) appears to contain a Kerberos ticket:
60 82 13 7B 06 06 2B 06 01 05 05 02 A0 82 13 6F  `.{..+..... .o

    WWW-Authenticate Header (Negotiate) appears to be a Kerberos reply:
A1 81 A0 30 81 9D A0 03 0A 01 00 A1 0B 06 09 2A  ¡ 0 ....¡...*

La forma más fácil en la que puedo pensar es usar wireshark para ver los paquetes de red y verificar que su servidor IIS esté solicitando Kerberos Tickets de su DC.

Puede verificar el registro de seguridad en el visor de eventos del servidor web.

También puede iniciar KerbTray en la máquina del cliente y verificar si está utilizando el SPN correcto. Kerbtray está disponible aquí (no se preocupe, no es solo Win2000).

Utilizo el registro de seguridad en el visor de eventos para verificar como alguien ya mencionado. Aquí hay una autenticación acertada exitosa: 

Successful Network Logon:
User Name:  {Username here}
Domain:     {Domain name here}
Logon ID:   (0x0,0x########)
Logon Type: 3
Logon Process:  Kerberos
Authentication Package: Kerberos
Workstation Name:   
Logon GUID: {########-####-####-####-############}
Caller User Name:   -
Caller Domain:  -
Caller Logon ID:    -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port:    -


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Bueno, Negociar también puede ser Kerberos, porque es un contenedor sobre Kerberos y NTLM. Como dijeron otros chicos, Wireshark (o Network Monitor) y el registro de eventos de seguridad no te engañarán.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top