Iis http请求如何与Active Directory一起工作?
我有一个ASP.NET MVC应用程序,可以根据Active Directory对用户进行身份验证 据我所知,这是用户登录其计算机时发生的过程:Iis http请求如何与Active Directory一起工作?,iis,active-directory,Iis,Active Directory,我有一个ASP.NET MVC应用程序,可以根据Active Directory对用户进行身份验证 据我所知,这是用户登录其计算机时发生的过程: 用户在本地计算机上输入凭据 本地计算机检查是否已经有这些凭据的身份验证票证 如果没有,它将联系它能找到的第一个提供kerberos身份验证功能的ADS服务器 ADS机器根据LDAP数据库检查凭据 如果他们签出,kerberos将向客户机返回一个TGT(票证授予票证) 在AD中设置的特定持续时间内(通常为8~10小时),如果本地计算机用户希望连接到需要其
WWW-authenticate
头向客户端(浏览器)指示需要进行身份验证。客户端检测到这一点并确定它是否能够正确地进行身份验证。其工作方式如下:
{type}/{full.qualified.domain}
的形式存在,例如HTTP/resource.domain.com
。此SPN映射到AD中的计算机或服务帐户。如果未注册此SPN,客户端将退回到较小的协议,如NTLM授权:协商YII…
头向服务器发送服务票证这个流程本身并不是特定于web的。这就是所有服务在使用Kerberos时如何进行自我身份验证。如果您知道Fiddler或Wireshark之类的工具,则非常清楚,凭据是作为HTTP头的一部分传递的。