2011年11月12日 (土)

IIS の認証構成 - Windows Server 2008 R2 の新機能

Windows Server 2008 R2 に搭載されている Web サーバー コンポーネントである IIS 7.5 では認証設定に新機能が加わっています。最近仕事でアプリケーション開発をする機会が増えインフラ回りも知識を整理しようと思い、備忘録として記載しておきます。

IIS 7.5 では Windows 認証の詳細設定から利用できるプロバイダーとして "Negotiate" , "NTLM" ともう一つ、"Negotiate:Kerberos" が追加できるようになっています。

IIS7.5-WindowsAuth
ここで疑問となるのが Negotiate と Negotiate : Kerberos との違いです。それぞれの挙動は以下の通りです。

------------------------------------------------------------

Negotiate 

相手が Kerberos 認証をサポートしている場合は Kerberos を使用し、サポートされいなければ次に NTLM を使用する (※従来からの挙動です。ちなみに、よく誤解されますが、Kerberos 認証に失敗したらNTLM を試みるという意味ではありません。)

Negotiate : Kerberos

相手が Kerberos 認証をサポートしている場合は Kerberos を使用しますが、NTLM は使用しない(NTLM へのフォールバックはしない)

------------------------------------------------------------

繰り返しになりますが "Negotiate : Kerberos" は Windows 2008 R2 からの新機能で "Negotiatable 2" または "Nego2" とも呼ばれます。なお、この構成にする場合は、カーネルモード認証を無効化しておく必要があります。

[ Negotiatable 2 に関連する情報 ]

トラックバック

このページのトラックバックURL: http://bb.lekumo.jp/t/trackback/718613/34255627

IIS の認証構成 - Windows Server 2008 R2 の新機能を参照しているブログ:

コメント