2010-03-17 52 views
1

我有一個使用Active Directory成員資格提供程序的Web應用程序,當用戶更改其密碼時,他們可以使用舊密碼或新密碼登錄一段時間。可以將AD成員資格提供程序配置爲使用Kerberos

此知識庫文章(http://support.microsoft.com/kb/906305/en-us)導致我到 認爲此行爲是由NTLM身份驗證引起的。

有沒有辦法將AD成員提供程序配置爲僅執行Kerberos 身份驗證而不是NTLM?

注意:我的應用程序使用最少的一組參數配置提供程序,因此每個 配置設置都設置爲其默認設置。

回答

0

看來您不能更改使用的方法。奇怪的是,這兩個密碼仍然可以工作,除非憑證在本地緩存,就好像它是一臺斷開連接的機器(類似於將機器從域中斷開連接並登錄時發生的情況)。這聽起來不像提供者自己正在做的事情,除非提供者正在緩存憑證。我沒有看到證書到期的任何事情,這導致我相信它沒有這樣做。

是聽起來很奇怪,他們可以與密碼登錄,我希望一個或其他工作,這取決於DC或沿行的東西之間的GC複製延遲。

+0

我相信從知識庫文章中提到,此行爲是在域控制器上,並且與IIS/ASP.Net或AD成員資格提供程序無關。但是這種行爲適用於NTLM身份驗證,而不適用於Kerberos。所以這就是爲什麼我想讓AD成員資格提供者使用Kerberos。 – 2010-03-18 01:34:02

相關問題