협상시 Kerberos 재설정 : NTLM에 대한 Kerberos 오류

Question

실행중인 인트라넷 .NET 4.5.1 웹 응용 프로그램에 액세스하는 Firefox 38.2.1 (또는 IE 11)의 이중 홉에 대한 제한 위임을 구현하는 시스템으로 작업하고 있습니다. Windows Server 2012 (IIS 8.5)에서 다른 서버에있는 SQL Server 2008 R2. 위임 시나리오가 작동하고 있습니다. 사용자의 AD 자격 증명이 웹 서버와 별개의 서버에있는 데이터베이스로 전달됩니다. DC는 Windows Server 2008 R2이며 우리는 SPN을 사용합니다.

그러나 Kerberos가 실패 할 수있는 Firefox 구성 설정이 누락되어있는 것과 같은 시나리오가 있습니다. 인증 프로토콜은 NTLM으로 다운 그레이드됩니다. 위임은 Kerberos 인증 프로토콜이 다시 시작될 때까지는 일정 기간 동안 작동하지 않습니다 (일부 소스는 5 분, 테스트에서는 10-12 분이 더 소요됨). 또한 실패한 위임은 Kerberos가 자동으로 다시 시작될 때까지 프로토콜 다운 그레이드가 적용된 후에 응용 프로그램에 액세스하는 모든 사용자에게 영향을줍니다. 즉, 해당 세션은 NTLM을 사용하며 10-12 분 동안 데이터베이스에 액세스하지 못하도록 차단됩니다.

인증 프로토콜을 수동으로 Kerberos에 복원하는 코드 (C#)/IIS/Firefox/IE 또는 다른 방법을 통해 NTLM이 사용되는 프로토콜을 단축하는 방법이 있습니까?

Answer 1

이전에 이런 유형의 문제가 발생했습니다. 사용자 지정 코드를 통해이 문제를 해결하지 않으려면 프로토콜 상태 오류를 감지하여 그에 따라 행동해야하므로 강력하게 권고합니다. 그러한 노력은 사소한 일입니다. 대신 실제로 (1) Firefox가 설치된 모든 컴퓨터를 반복하는 스크립트 메소드를 개발하고 network.negotiate-auth.trusted-uris 및 network.negotiate-auth.delegation-uris를 설정하여 도메인 이름 (Configure Firefox to authenticate using SPNEGO and Kerberos 참조) 또는 (2) 중앙 서버를 통해 Firefox 설정 (about : config를 통해 표시되는 설정)을 적용합니다. # 2에 대해서는 Deploying Firefox in an enterprise environment을 참조하십시오. 그런 식으로 모든 사용자 지정 Firefox 설정을 제어 할 수 있으므로 # 2가 더 마음에 듭니다.