善待自己,珍惜今天,恩泽他人,享受生活

不放弃任何解决困难的机会,人的一生就是解决困难的过程。 当我们走完一生才能说没有问题要解决了。 面对工作、生活上的压力,面对来自家庭、朋友、同事、上司等的困惑。 要排除万难,否则我们就会被万难排除!

博客园 首页 新随笔 联系 订阅 管理

具体是采用Kerberos 还是NTLM验证方式取决于以下三种情况

1.客户端以ip地址访问服务器

不管客户端跟服务器是否在域、也不管客户端是否以域帐号登陆,只要客户端以ip地址访问服务器,

  • 那么客户端就会选择NTLM方式验证

  • 并且不会直接发送客户端登录用户的用户名和密码给服务器

  • 而是会弹出一个对话框要求用户输入用户名和口令,然后发送到服务端验证。

        您可以避免在使用 IP 地址或名称中包含句点的企业内部网服务器上出现这种提示,方法是,在 Internet Explorer 的“本地 Intranet”设置中,列出包含 IP 地址的服务器,或是列出包含句点的服务器名称。可以通过依次单击“工具”、“Internet 选项”、“本地 Intranet”、“站点”、“高级”来访问“本地 Intranet”设置部分。然后在“将该网站添加到区域中”输入 http://127.0.0.1 或其他相关站点的 URL。

 

下面总结的都是在客户端以机器名访问服务器的情况。

2. 服务器在域,客户端以域帐号登陆

如果客户端的机器在域中,同时登陆用户又是以域用户登录,那么IE选择Kerberos验证方式。

3. 其他情况IE都选择采用NTLM验证方式。

出来上述的两种情况,其他情况,客户端都选择NTLM验证,并首先尝试把登录客户端用户的用户名和密码传送给服务器验证,

  • 如果验证通过了,被直接授权访问;
  • 如果验证没通过,客户端弹出对话框要求输入用户名和密码,然后再传送到服务端验证,直到验证通过。

集成 Windows 身份验证Kerberos的验证方式是 Intranet 环境中最好的身份验证方案:

  • 在这种用户拥有 Windows 域帐户,Kerberos验证不在网络上传递用户密码,只用传送一个用户验证票。
  • NTLM要传送用户的密码,但是密码经过处理后派生出一个8字节的key加密质询码,也是比较安全的。
posted on 2012-03-03 22:01  笨笨丁  阅读(990)  评论(0编辑  收藏  举报