我目前知道Microsoft使用的两个WWW-Authenticate补充是:
- NTLM - Negotiate 如果服务器发送Negotiate,根据一组条件将使用Kerberos:
- Intranet Zone - 使用主机名而不是IP访问服务器 - 在IE中启用了集成的Windows身份验证,Firefox中信任主机 - 服务器不是浏览器本地的 - 客户端的Kerberos系统已经通过域控制器进行了身份验证
然后将在服务器和客户端之间尝试Kerberos,如果未满足上述某些要求,则将尝试NTLM。
我的问题是,服务器是否有一种方法指示不应发送NTLM?我目前通过在会话中跟踪请求来处理此问题,并且如果收到NTLM消息,则会禁用该会话的Kerberos和WWW-Authenticate。
- NTLM - Negotiate 如果服务器发送Negotiate,根据一组条件将使用Kerberos:
- Intranet Zone - 使用主机名而不是IP访问服务器 - 在IE中启用了集成的Windows身份验证,Firefox中信任主机 - 服务器不是浏览器本地的 - 客户端的Kerberos系统已经通过域控制器进行了身份验证
然后将在服务器和客户端之间尝试Kerberos,如果未满足上述某些要求,则将尝试NTLM。
我的问题是,服务器是否有一种方法指示不应发送NTLM?我目前通过在会话中跟踪请求来处理此问题,并且如果收到NTLM消息,则会禁用该会话的Kerberos和WWW-Authenticate。