【发布时间】:2010-12-08 19:04:42
【问题描述】:
背景(仅相关部分):
我们有一个大型的内网 asp.net 2.0/3.5 应用程序。
Web 服务器是 AD 域上的 Windows Server 2003。
客户端在 Windows、IE 6-8 上。
Windows 身份验证,使用从 Windows 标识创建的自定义主体。
Web 服务器位于 F5 NLB 后面,该 NLB 将用户转发到特定的 Web 服务器。 (原因是我们公司的 F5 交易与 kerberos 的限制)。
没有系统范围的问题,如会话丢失、超时或服务器过载,一切运行正常。
一项功能需要委托 - 我们使用域/Web 服务器提供给我们的 Kerberos 令牌作为经过身份验证的用户连接到网络文件共享。
SPN、ACL 等似乎设置正确。
99.x% 的时间,一切正常。我们经常看到的问题是,在刷新时,令牌会从 kerberos 下降到 ntlm。我可以在 Web 服务器的事件日志中看到登录信息,显示一个调用得到这个:
登录过程:Kerberos 身份验证包:Kerberos
随后的调用(通常在 10 或 20 个页面加载后)得到:
登录过程:NtLmSsp 认证包:NTLM
任何人都知道什么可能导致后续回发有时会转到 NTLM?
谢谢!
【问题讨论】:
标签: asp.net kerberos delegation