Определение реализации IWA

Я работаю с несколькими клиентскими программами и веб-приложениями, которые не понимают, какой тип IWA они позволяют для аутентификации. Я прочитал руководства / руководства безрезультатно. Они содержат функции флажков, помеченные "Включить IWA", и IWA, кажется, работает так, как было объявлено при аутентификации на компьютере / домене.

Исходя из того, что я знаю, и проведенных исследований, существует два типа IWA: NTLM и Kerberos. Я знаком с настройками IIS для включения Negotiate для использования либо NTLM/Kerberos. Я также знаком с использованием klist для определения того, запрашиваются ли / используются билеты kerberos в системах с проверкой подлинности домена.

Я запутываюсь, когда возникает сценарий, когда приложение не основано на IIS (он же не может проверить настройки согласования) и где вывод klist не показывает билетов Kerberos, а IWA все еще работает. Всегда ли предполагается, что эта ситуация является IWA NTLM? Существуют ли другие формы IWA, о которых я не знаю? Я знаю, что веб-приложения могут вытащить аутентифицированного пользователя из javascript, но это довольно небезопасная практика, и, похоже, это не так, поскольку я проверил javascript.

Резюме вопросов:

  • Существуют ли другие формы IWA, которые я здесь не упоминаю?
  • Как проверить тип IWA, если используется IWA, не поддающийся проверке IIS / klist?
  • Какой самый простой способ проверить, используется ли NTLM, не требующий от меня захвата пакета?
Источник

1 ответ

Решение

  1. Существуют ли другие формы IWA, которые я здесь не упоминаю?
    О. Никаких других форм - ваше исследование было правильным, и вы перечислили обе формы IWA: NTLM и Kerberos.

  2. Как проверить тип IWA, если используется IWA, не поддающийся проверке IIS/klist?
    A. klist проверяет, что Kerberos использовался как тип IWA. Если klist не отображает билетов Kerberos и единый вход в веб-приложение работает без HTTP-клиента, который когда-либо представлял диалоговое окно с запросом имени пользователя и пароля, то тип аутентификации должен быть NTLM.

  3. Какой самый простой способ проверить, используется ли NTLM, не требующий от меня захвата пакета?
    О. Самый простой способ узнать это знать по обстоятельствам: когда в выводе klist не отображаются билеты Kerberos и IWA по-прежнему работает (без всплывающего диалогового окна), это означает, что NTLM должен был использоваться. NTLM вызывался всякий раз, когда работал единый вход, а klist не отображал билет Kerberos для веб-приложения (как в ответе № 2 выше). Хотя это можно спутать с существованием ключа сеанса в кэше браузера, единственный способ точно сказать наверняка - это либо наблюдение за сетевой трассировкой, либо анализ журнала сервера на уровне трассировки / отладки. Однако я добавлю, что если диалоговое окно, запрашивающее имя пользователя и пароль, присутствует, то тип аутентификации не был IWA и, скорее всего, был либо базовой аутентификацией, либо аутентификацией LDAP (обычная аутентификация и аутентификация LDAP не являются протоколами SSO).
Источник
Другие вопросы по тегам