如果 Kerberos 身份验证失败，它是否总是回退到 NTLM？

Question

我浏览过许多博客，这些博客都说如果 Kerberos 失败，那么它会自动回退到 NTLM。这是真的吗？

Answer 1

是的，如果您通过中央管理配置了 Kerberos。
在 IIS 元数据库中，您应该有“Negociate, NTLM”。

Answer 2

我认为客户端决定发送什么，服务器只是接受或拒绝。这意味着，根据服务器的要求，客户端可能会也可能不会遵守。因此，如果服务器说“协商”，客户端可以发送 NTLM 令牌或 Kerberos 令牌...？

如果您正在编写需要通过 Kerberos 对客户端进行身份验证的服务器，那么您将能够指定是否要接受或拒绝令牌，或者让客户端使用其他方案重试...例如 Basic（不推荐）。

如果您正在编写客户端，只需发送您想要的令牌（NTLM 或 Kerberos），服务器就会告诉您下一步要做什么（如果有的话，服务器可以接受）。

看一下这个开源项目 http://spnego.sourceforge.net 该项目实现了一个 SPNEGO Http Servlet过滤器以及 SpnegoHttpURLConnection 对象。

Answer 3

实际上，这是 Kerberos 的一个很大的问题。是的，Negotiate 将在 Kerberos 和 NTLM 之间进行选择，但这是一次性选择。这不是故障转移身份验证。因此，如果 Kerberos 身份验证失败，服务器不会专门向客户端发送新的 NTLM 身份验证。