为什么用户可以通过IE委托身份validation到IIS？

概述为什么用户可以通过IE委托身份validation到IIS？

Kerberos身份valIDation支持委派，但委托需要客户端和服务器之间的协作。

例如，如果客户端使用sspI，则在调用InitializeSecurityContext时，必须设置ISC_REQ_DELEGATE标志。

如果服务器，IIS（更准确地说应用程序在IIS上运行）想要使用客户端的身份valIDation进行另一个远程访问，客户端（IE浏览器）必须使用委托，但是如何知道服务器想要这样做？

这取决于浏览器。 sspI实际上使用两件事来控制委派。 首先，需要根据您的讨论设置InitializeSecurityContext的ISC_REQ_DELEGATE标志。 其次，虽然Active Directory中的计算机帐户必须包含受信任的委派标志。 该标志在Kerberos文档中也称为“好委托代理”。 这个想法是浏览器总是可以在InitializeSecurityContext中设置委托请求标志，但是Active Directory决定委托是否工作。 如果Web服务器的计算机帐户允许，IE通常会设置该标志，并且通常会支持委派。 请参阅这里了解如何在firefox中配置委托。

请参阅这里了解如何配置Web服务器的计算机帐户的讨论。 并且在这里看一看代表团的讨论，它的风险和受限的授权，这是一个不需要浏览器合作的选择。 如果您需要编码到GSS-API而不是sspI，请参阅此RFC以了解您的http客户端如何使用ok-as-delegate标志

总结

以上是内存溢出为你收集整理的为什么用户可以通过IE委托身份validation到IIS？全部内容，希望文章能够帮你解决为什么用户可以通过IE委托身份validation到IIS？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。