服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我如何知道IIS是否允许将身份validation从Kerberos降级到NTLM v1?
Intereting Posts
在目录结构上应用unix权限scheme 什么apache的VirtualHostconfiguration将通过SSL服务的唯一一个域? 监控服务器的高Iowait +高负载平均值 (WordPress).htaccessredirect实际的子文件夹位置 非常高的networking在EC2实例 nginx规则来捕获头文件并将其追加为查询string 寻找一个有信誉和可靠的Windowsregistrysearch和replace工具 SOA或NS RR中是否存在对某个区域几乎不可用的名称服务器? 硬盘与HP Proliant ML310e 查看分布式系统中的NxNnetworkingstream量 LVS TCP连接超时 – 延迟连接 有没有一个标准的方法分配名称服务器在Windows域中的服务器? 如何自动化stream水线? SQL Server成本 将Windows帐户和设置移到OpenLDAP

我如何知道IIS是否允许将身份validation从Kerberos降级到NTLM v1?

我的理解是,如果客户端无法处理Kerberos,则使用Kerberos向IIS进行身份validation将默认允许将身份validation降级到NTLM v2或NTLM v1。 在我的情况下,我有一个客户端,只能使用NTLM v1,我想知道在安装的东西,这将在不同的环境中工作。 你怎么知道IIS是否允许这种情况发生?

一些相关的说明:

  1. 这些都将是来自另一台服务器的Web服务请求(不是基于terminal用户的浏览器请求)。
  2. Web服务托pipe在IIS / ASP.NET / SharePoint(2007和2010)中。 我相信IIS负责身份validation(假设Windows身份validation,而不是表单或声明),但如果您知道ASP.NET或SharePoint可以在这里发挥作用,请让我知道。
  3. 我需要知道IIS6和II7的答案。
  4. 我已经看到集团的政策可以对此产生影响。 我相信强化指南configuration模板可能会阻止NTLMv1,但我不确定。
  5. 看起来这篇文章对IIS6有所帮助,但有些东西告诉我,这可以通过组策略来重写(如上所述)。
  6. 对于IIS7,我发现如何configurationIIS 7.0以支持Kerberos协议和NTLM协议进行networking身份validation 。 不过,我要么不理解这个,要么错过了一些东西。 我有一个默认的IIS7和我的IIS_schema.xml文件似乎不明确允许NTLM(见下文)。 另外,我关心IIS6和组策略的覆盖,所以即使我理解了这一点,它也只能让我成为那里的一部分。 

<sectionSchema name="system.webServer/security/authentication/windowsAuthentication"> <attribute name="enabled" type="bool" defaultValue="false" /> <element name="providers"> <collection addElement="add" clearElement="clear" removeElement="remove"> <attribute name="value" type="string" isUniqueKey="true" /> </collection> </element> <attribute name="authPersistSingleRequest" type="bool" defaultValue="false" /> <attribute name="authPersistNonNTLM" type="bool" defaultValue="false" /> <attribute name="useKernelMode" type="bool" defaultValue="true" /> <attribute name="useAppPoolCredentials" type="bool" defaultValue="false" /> <element name="extendedProtection"> <attribute name="tokenChecking" type="enum" defaultValue="None"> <enum name="None" value="0" /> <enum name="Allow" value="1" /> <enum name="Require" value="2" /> </attribute> <attribute name="flags" type="flags" defaultValue="None"> <flag name="None" value="0" /> <flag name="Proxy" value="1" /> <flag name="NoServiceNameCheck" value="2"/> <flag name="AllowDotlessSpn" value="4" /> <flag name="ProxyCohosting" value="32" /> </attribute> <collection addElement="spn" clearElement="clearSpns" removeElement="removeSpn"> <attribute name="name" type="string" isUniqueKey="true" validationType="nonEmptyString" /> </collection> </element> </sectionSchema>