Tenho uma lacuna no meu entendimento da autenticação do Windows no IIS 10 enquanto configurava a delegação Kerberos.
Para um cliente acessando o servidor web (IIS, com autenticação do Windows habilitada) e nenhum cenário de delegação ou SPNs personalizados com que se preocupar, é assim que interpreto a autenticação Kerberos:
O cliente solicita um TGT (e uma chave de sessão) do KDC.
Após receber o TGT, o cliente o utiliza para solicitar um ticket de serviço do TGS para o SPN que corresponda ao nome do host do servidor web. (HTTP/nome.empresa.com).
A base de clientes 64 codifica o ticket de serviço e o insere como cabeçalho de autenticação WWW para solicitações enviadas ao servidor web para autenticação. O servidor web pode descriptografá-lo para verificar a identidade do cliente.
Essas postagens de falha do servidor ( MSSQLSvc Service Principal Names, Kerberos e NTLM ) e esta ( Por que usar Kerberos em vez de NTLM no IIS? ) parecem implicar que se o TGS não encontrar um SPN na etapa 2, o cliente retornará usar o protocolo NTLM para autenticar no servidor web IIS em vez de Kerberos.
Minhas perguntas:
Parece que estou confuso se ele está usando Kerberos para autenticar ou NTLM neste cenário que descrevi - sempre pensei que o IIS usava Kerberos para autenticação do Windows pronto para uso.
O tíquete de serviço da etapa 2 - presumo que o tíquete de serviço ainda será enviado de volta, embora não contenha SPNs.