Asp.net 为什么用户可以通过IE将身份验证委托给IIS？_Asp.net_Windows_Delegates_Kerberos_Windows Authentication

Asp.net 为什么用户可以通过IE将身份验证委托给IIS？

asp.net windows

Asp.net 为什么用户可以通过IE将身份验证委托给IIS？,asp.net,windows,delegates,kerberos,windows-authentication,Asp.net,Windows,Delegates,Kerberos,Windows Authentication,Kerberos身份验证支持委托，但委托需要客户端和服务器之间的合作例如，如果客户端使用SSPI，则在调用InitializeSecurityContext时必须设置ISC_REQ_委托的标志如果服务器IIS（更准确地说是在IIS上运行的应用程序）希望使用客户端的身份验证进行另一个远程访问，客户端（IE浏览器）必须使用委派，但如何知道服务器希望这样做？这在一定程度上取决于浏览器。SSPI实际上使用两种方式来控制委托。首先，需要在讨论时设置初始化安全上下文的ISC_REQ_委托标志。其次，尽管

Kerberos身份验证支持委托，但委托需要客户端和服务器之间的合作

例如，如果客户端使用SSPI，则在调用InitializeSecurityContext时必须设置ISC_REQ_委托的标志

如果服务器IIS（更准确地说是在IIS上运行的应用程序）希望使用客户端的身份验证进行另一个远程访问，客户端（IE浏览器）必须使用委派，但如何知道服务器希望这样做？

这在一定程度上取决于浏览器。SSPI实际上使用两种方式来控制委托。首先，需要在讨论时设置初始化安全上下文的ISC_REQ_委托标志。其次，尽管Active Directory中的计算机帐户必须包含trusted for delegation标志。在Kerberos文档中，此标志也称为ok as delegate。其思想是，浏览器始终可以在InitializeSecurityContext中设置委派请求标志，但Active Directory决定委派是否有效。IE通常会设置该标志，如果web服务器的计算机帐户允许，IE通常会支持委派。有关如何在Firefox中配置委派的讨论，请参阅。
有关如何配置web服务器计算机帐户的讨论，请参阅。有关委派、其风险和受限委派的讨论，请参见，这是一种不需要浏览器合作的替代方案。

有关http客户端如何在需要编码到GSS-API而不是SSPI时使用ok as delegate标志的讨论，请参阅。这在一定程度上取决于浏览器。SSPI实际上使用两种方式来控制委托。首先，需要在讨论时设置初始化安全上下文的ISC_REQ_委托标志。其次，尽管Active Directory中的计算机帐户必须包含trusted for delegation标志。在Kerberos文档中，此标志也称为ok as delegate。其思想是，浏览器始终可以在InitializeSecurityContext中设置委派请求标志，但Active Directory决定委派是否有效。IE通常会设置该标志，如果web服务器的计算机帐户允许，IE通常会支持委派。有关如何在Firefox中配置委派的讨论，请参阅。
有关如何配置web服务器计算机帐户的讨论，请参阅。有关委派、其风险和受限委派的讨论，请参见，这是一种不需要浏览器合作的替代方案。有关http客户端如何在需要编码到GSS-API而不是SSPI时使用ok as委托标志的讨论，请参阅