Serviços conhecidos que não usam a autenticação Kerberos?

Navegue suas respostas
3

Estou tentando configurar uma relação de confiança do Kerberos entre o MIT Kerberos5 e o Active Directory. No entanto, notei em meu antigo livro sobre Kerberos de 2003 que "há vários aplicativos, notavelmente o Microsoft Exchange (2000 e posterior), que ainda usam a autenticação mais antiga do estilo NTLM".

Felizmente, não usamos o MS Exchange, mas existe a preocupação de que possamos perder um importante caso de uso que o Kerberos não suporta. Sei que outras organizações em nosso setor fizeram uma configuração semelhante e sei que encontraram soluções alternativas para isso, mas não encontrei uma boa lista de aplicativos que causasse problemas. A comunidade ServerFault pode me ajudar aqui? Até mesmo a evidência anedótica é apreciada.

EDIT 1 : APIs para o Active Directory exigem que as alterações de senha sejam entregues em texto simples em vez de hashes . Gostaríamos de remover esse requisito da nossa infraestrutura de autenticação, permanecendo em um domínio do MIT para autenticação do usuário. Existem alguns casos de uso que podem facilitar a vida do helpdesk, mas seria difícil fazer com que outras pessoas na área de TI concordassem com uma alteração se ela quebra qualquer aplicativo.

    
por jldugger 29.07.2011 / 20:57

2 respostas

1

Não sei qual livro é esse, mas o Outlook / Exchange pode usar o Kerberos. É possível tê-lo usando NTLM, talvez eles quisessem dizer isso.

Observe também que o IIS do Windows Server 2003 pode usar o Kerberos, mas, se malsucedido, tentará o NTLM. Realmente não há nada que possa ser feito para evitar isso, exceto o uso de um módulo HTTP personalizado, e pode ser frustrantemente não aparente qual mecanismo de autenticação está em uso.

Acredito que o Windows 2008 R2 IIS introduziu um novo protocolo, Nego2, que permite maior granularidade de controle sobre os mecanismos de autenticação (Kerberos e nenhum NTLM).

link

    
por 29.07.2011 / 21:34
1

Tudo o que a Microsoft faz (IIS, SMB2, Exchange, etc.) suporta o Kerberos hoje em dia. E caso você não esteja em um domínio, haverá uma queda para outra coisa. Quais serviços não-Microsoft você está executando atualmente no lado do Windows com o qual está preocupado?

Se você tivesse uma lista de cada aplicativo de dois bits com dez usuários, é mais do que provável que a maioria suportasse pouco mais que senhas codificadas. E aplicativos maiores geralmente funcionam com o sistema operacional para autenticação; Nesse caso, o Kerberos deve ser suportado.

Você tem um caso de uso mais específico?

    
por 29.07.2011 / 21:59

Tags

Não é possível fazer login no servidor Servidor R2 R2 DBCC Freeproccache acelerou muito o tempo de execução sp, por quê?