Hai bổ sung WWW-Authenticate Microsoft đưa ra sử dụng mà tôi đang nhận thức được làTôi có thể chỉ ra cho khách hàng rằng SPNEGO được hỗ trợ nhưng NTLM không dành cho các yêu cầu HTTP?
- NTLM
- Negotiate
Nếu Negotiate được gửi xuống từ máy chủ, dựa trên một tập hợp điều kiện Kerberos sẽ được sử dụng
- Intranet Zone
- Truy cập máy chủ sử dụng một Hostname thay vì sau đó IP
- Integrated Windows Authentication trong IE được kích hoạt, chủ nhà là đáng tin cậy trong Firefox
- Server không phải là địa phương để trình duyệt
- hệ thống Kerberos của khách hàng được xác thực với một domain controller
Sau đó Kerberos sẽ được cố gắng giữa máy chủ và ứng dụng khách, nếu một thứ gì đó ở trên không được đáp ứng, khi đó NTLM sẽ được thử.
Câu hỏi của tôi là, có cách nào để máy chủ chỉ ra rằng NTLM không được gửi? Tôi hiện đang xử lý việc này bằng cách theo dõi yêu cầu trong phiên và nếu nhận được thông báo NTLM, nó sẽ vô hiệu hóa Kerberos và WWW-Authenticate cho phần còn lại của phiên đó.
Bạn có tắt NTLM do sự cố ủy quyền không? –
Không, nó chỉ đơn giản là một cái gì đó tôi hiện không hỗ trợ trong plugin Tomcat JAAS tôi đã thực hiện. Nó chỉ hỗ trợ Kerberos/SPNEGO. –