已知的服务不使用Kerberos身份validation?
我正在设置MIT Kerberos5和Active Directory之间的Kerberos信任。 然而,在我2003年的旧Kerberos书中,我们注意到“有几个应用程序,尤其是Microsoft Exchange(2000及以下),仍然使用旧的NTLM风格的身份validation”。
幸运的是,我们不使用MS Exchange,但担心我们可能会错过Kerberos不支持的重要用例。 我知道我们行业的其他组织已经做了类似的设置,我知道他们已经find了解决办法,但我还没有find一个给他们的问题的应用程序的好名单。 ServerFault社区可以帮我吗? 即使传闻证据表示赞赏。
编辑1 : 到Active Directory的API需要密码更改以纯文本而不是散列传递 。 我们希望通过站立一个用于用户身份validation的MIT领域来从我们的身份validation基础架构中移除此要求。 有一些用例可能会使帮助台的工作变得更简单,但如果IT人员打破任何应用程序,就很难让IT中的其他人同意进行更改。
- joinZFS / Solaris到Windows AD 2003/2008域
- 域控制器审核日志
- VPN到客户的网站locking我的本地AD帐户
- Windows Server 2003 – 如何通过GPO控制睡眠设置?
- 如何使网站用户对远程Active Directory进行身份validation?
我不确定那本书是什么,但是Outlook / Exchange可以使用Kerberos。 有可能让它使用NTLM,也许他们的意思是。
另外请注意,Windows Server 2003 IIS可以使用Kerberos,但如果不成功,它将尝试NTLM。 除了使用自定义的HTTP模块,实际上没有什么可以做到的,以防止这种情况发生,而且正在使用哪种authentication机制可能令人沮丧不明。
我相信Windows 2008 R2 IIS引入了一个新的协议,Nego2,可以更好地控制身份validation机制(Kerberos和无NTLM)的粒度。
http://blogs.iis.net/mailant/archive/2009/01/11/iis7-in-windows-server-2008-r2.aspx
微软现在所做的一切(IIS,SMB2,Exchange等)都支持Kerberos。 而且如果你不在某个域名中,那么就会有其他的东西。 你目前在Windows平台上运行的是什么非微软服务?
如果您拥有包含十个用户的每个两位应用程序的列表,则很可能大多数人都会支持比硬编码密码更多的function。 更大的应用程序通常与操作系统进行身份validation; 在这种情况下,应该支持Kerberos。
你有更具体的用例吗?