Kerberos認証を使用しない既知のサービス?
MIT Kerberos5とActiveDirectoryの間にKerberosの信頼を設定しようとしています。しかし、2003年の古いKerberosの本には、「いくつかのアプリケーション、特にMicrosoft Exchange(2000と以下)、それはまだ古いNTLMスタイルの認証を使用しています。」
幸い、MS Exchangeは使用していませんが、Kerberosがサポートしていない重要なユースケースを見逃す可能性があるという懸念があります。私たちの業界の他の組織が同様の設定を行っていることを知っています。彼らがこれに対する回避策を見つけたことは知っていますが、問題を引き起こしたアプリの良いリストは見つかりませんでした。 ServerFaultコミュニティはここで私を助けてくれますか?事例証拠でさえありがたいです。
EDIT 1: Active DirectoryへのAPIでは、パスワードの変更をハッシュではなくプレーンテキストで配信する必要があります 。 MITユーザー認証の領域を立ち上げることで、認証インフラストラクチャからその要件を削除したいと思います。ヘルプデスクの作業を楽にするユースケースがいくつかありますが、取得するのは難しいでしょう。 ITの他の人々は、アプリケーションが壊れた場合に変更に同意する。
それがどの本かはわかりませんが、Outlook/ExchangeはKerberosを使用できます。 NTLMを使用させることは可能ですが、おそらくそれを意味していました。
また、Windows Server 2003 IISはKerberosを使用できますが、失敗した場合はNTLMを試行します。カスタムHTTPモジュールを使用する以外に、これを防ぐためにできることは実際にはありません。どの認証メカニズムが使用されているかは、イライラするほどはっきりしない可能性があります。
Windows 2008 R2 IISは、認証メカニズム(Kerberosを使用し、NTLMを使用しない)をより細かく制御できる新しいプロトコルNego2を導入したと思います。
http://blogs.iis.net/mailant/archive/2009/01/11/iis7-in-windows-server-2008-r2.aspx
マイクロソフトが行うすべてのこと(IIS、SMB2、Exchangeなど)は、最近Kerberosをサポートしています。また、ドメインに属していない場合は、他の何かへのフォールスルーがあります。心配しているWindows側で現在実行しているMicrosoft以外のサービスは何ですか?
10人のユーザーがいるすべての2ビットアプリのリストがある場合、ほとんどの場合、ハードコードされたパスワードにすぎない可能性があります。また、大規模なアプリは通常、認証のためにOSで動作します。その場合、Kerberosがサポートされている必要があります。
より具体的なユースケースはありますか?