Windows Server 2008 R2 に搭載されている Web サーバー コンポーネントである IIS 7.5 では認証設定に新機能が加わっています。最近仕事でアプリケーション開発をする機会が増えインフラ回りも知識を整理しようと思い、備忘録として記載しておきます。
IIS 7.5 では Windows 認証の詳細設定から利用できるプロバイダーとして "Negotiate" , "NTLM" ともう一つ、"Negotiate:Kerberos" が追加できるようになっています。
ここで疑問となるのが Negotiate と Negotiate : Kerberos との違いです。それぞれの挙動は以下の通りです。
------------------------------------------------------------
Negotiate
相手が Kerberos 認証をサポートしている場合は Kerberos を使用し、サポートされいなければ次に NTLM を使用する (※従来からの挙動です。ちなみに、よく誤解されますが、Kerberos 認証に失敗したらNTLM を試みるという意味ではありません。)
Negotiate : Kerberos
相手が Kerberos 認証をサポートしている場合は Kerberos を使用しますが、NTLM は使用しない(NTLM へのフォールバックはしない)
------------------------------------------------------------
繰り返しになりますが "Negotiate : Kerberos" は Windows 2008 R2 からの新機能で "Negotiatable 2" または "Nego2" とも呼ばれます。なお、この構成にする場合は、カーネルモード認証を無効化しておく必要があります。
[ Negotiatable 2 に関連する情報 ]
- [詳細設定] ダイアログ ボックス - Windows 認証機能
http://technet.microsoft.com/ja-jp/library/cc771945(WS.10).aspx - [FIX].NET Framework 3. 5 SP1 ベースの WCF サービスをホストする IIS 仮想ディレクトリでは、"Negotiable 2 ベース"の認証プロバイダーを構成した後に"System.NotSupportedException"例外が発生します。
http://support.microsoft.com/kb/907286
コメント