Las dos adiciones WWW-Autenticar Microsoft hace uso de que actualmente estoy consciente de son¿Puedo indicar a los clientes que SPNEGO es compatible pero NTLM no es para solicitudes HTTP?
- NTLM
- Negociar
Si Negociar es enviado desde el servidor, basado en un conjunto de condiciones Kerberos se utilizará
- Intranet Zona
- Acceso a la servidor utilizando un nombre de host en lugar de IP
- autenticación integrada de Windows en el IE está activado, el anfitrión es de confianza en Firefox
- el servidor no es local en el navegador
- sistema Kerberos del cliente se autentica en un controlador de dominio
Luego se intentará Kerberos entre el servidor y el cliente, si algo anterior no se cumple, entonces se intentará NTLM.
Mi pregunta es, ¿hay alguna forma de que el servidor indique que no se debe enviar NTLM? Actualmente me encargo de esto haciendo un seguimiento de la solicitud en la sesión, y si se recibe un mensaje NTLM, deshabilita Kerberos y WWW-Authenticate por el resto de la vida de esas sesiones.
¿Está deshabilitando NTLM debido a problemas de delegación? –
No, es simplemente algo que no soporto actualmente en el complemento Tomcat JAAS que he creado. Solo es compatible con Kerberos/SPNEGO. –