Die beiden WWW-Authenticate Ergänzungen macht Microsoft Nutzungs, dass ich derzeit sind uns bewusst binKann ich Clients anzeigen, dass SPNEGO unterstützt wird, aber NTLM nicht für HTTP-Anforderungen?
- NTLM
- Verhandeln
Wenn unten vom Server Verhandeln gesendet wird, basierend auf einer Reihe von Bedingungen Kerberos wird
- Intranetzone
- Zugriff auf die verwendet werden, Server einen Hostnamen anstatt IP
- integrierte Windows-Authentifizierung in IE aktiviert ist, wird der Host in Firefox ist vertraut
- Der Server nicht lokal auf den Browser
- Der Kerberos-System des Kunden zu einem Domänencontroller authentifiziert wird
Dann wird Kerberos zwischen dem Server und dem Client versucht, wenn etwas darüber nicht erfüllt ist, wird NTLM versucht.
Meine Frage ist, gibt es eine Möglichkeit für den Server anzugeben, dass NTLM nicht gesendet werden soll? Ich handle derzeit damit, indem ich die Anfrage in der Sitzung protokolliere, und wenn eine NTLM-Nachricht empfangen wird, deaktiviert sie Kerberos und WWW-Authenticate für den Rest der Lebensdauer dieser Sitzungen.
Deaktivieren Sie NTLM aufgrund von Delegationsproblemen? –
Nein, es ist einfach etwas, das ich momentan im Tomcat JAAS-Plugin, das ich gemacht habe, nicht unterstütze. Es unterstützt nur Kerberos/SPNEGO. –