IIS集成的Windows身份验证模块实现了两个主要的身份验证协议：NTLM和Kerberos身份验证协议。它调用三个不同的安全服务提供者（ssp）：Kerberos、NTLM和Negotiate。这些ssp和身份验证协议通常在Windows网络上可用和使用。NTLM实现NTLM身份验证，Kerberos实现Kerberos v5身份验证。协商是不同的，因为它不支持任何身份验证协议。由于集成的Windows身份验证包含多个身份验证协议，因此在Web浏览器和服务器之间进行实际身份验证之前需要一个协商阶段。在此协商阶段，协商SSP确定要在Web浏览器和服务器之间使用的身份验证协议。

这两种协议都是非常安全的，它们能够在不通过任何形式的网络传输密码的情况下对客户端进行身份验证，但它们是有限的。NTLM身份验证不能跨HTTP代理工作，因为它需要Web浏览器和服务器之间的点对点连接才能正常工作。Kerberos身份验证仅在IE 5.0浏览器和IIS 5.0 Web服务器或更高版本上可用。它只能在运行Windows2000或更高版本的计算机上工作，并且需要在防火墙上打开一些额外的端口。NTLM不像Kerberos那样安全，因此总是建议尽可能多地使用Kerberos。让我们好好看看这两个。

6 1〃src=”http://www.tl80.cn/wp-content/uploads/2019/05/Difference-Between-NTLM-and-Kerberos.png“alt=”“width=”500〃height=”189〃&gt；

什么是ntlm公司(ntlm)？

NT LAN Manager是一种基于质询-响应的身份验证协议，由不是Active Directory域成员的Windows计算机使用。客户机通过基于客户机和服务器之间的三方握手的质询/响应机制来启动身份验证。客户端通过向服务器发送一条消息来启动通信，该消息指定其加密功能并包含用户的帐户名。服务器生成一个名为nonce的64位随机值，并通过返回这个nonce来响应客户机的请求，该nonce包含有关其自身功能的信息。这种反应被称为挑战。然后，客户机使用质询字符串及其密码来计算响应，并将其传输到服务器。然后服务器验证它从客户机收到的响应，并将其与NTLM响应进行比较。如果两个值相同，则验证成功。

什么是kerberos(kerberos)？

Kerberos是一种基于票证的身份验证协议，由作为Active Directory域成员的Windows计算机使用。Kerberos身份验证是内部IIS安装的最佳方法。kerberosv5身份验证是在MIT设计的，在rfc1510.windows2000和更高版本中定义的，在部署activedirectory时实现Kerberos。最棒的是，它将每个用户使用整个网络时必须记住的密码数减少到一个——Kerberos密码。此外，它还结合了加密和消息完整性，以确保敏感的身份验证数据永远不会以明文形式通过网络发送。Kerberos系统通过一组集中的密钥分发中心（kdc）进行操作。每个KDC都包含用户和启用Kerberos的服务的用户名和密码数据库。

ntlm和kerberos之间的区别

ntlm与kerberos协议

–NTLM是一种基于质询-响应的身份验证协议，用于非Active Directory域成员的Windows计算机。客户机通过基于客户机和服务器之间的三方握手的质询/响应机制来启动身份验证。另一方面，Kerberos是一种基于票证的身份验证协议，它只适用于运行windows2000或更高版本并在activedirectory域中运行的计算机。这两种认证协议都是基于对称密钥加密的。

支持

–这两种身份验证协议之间的主要区别之一是Kerberos同时支持模拟和委托，而NTLM只支持模拟。委托与冒充基本上是相同的概念，冒充只涉及代表客户身份执行操作。然而，模拟只在一台机器上的作用域内工作，而委派也在网络上工作。这意味着，如果最初访问的服务器具有这样做的权限，则可以将原始客户端身份的身份验证票证传递到网络中的另一个服务器上。

安全

–虽然这两种身份验证协议都是安全的，但NTLM不如Kerberos安全，因为它需要Web浏览器和服务器之间的点对点连接才能正常工作。Kerberos更安全，因为它从不在网络上以明文形式传输密码。它的独特之处在于使用票证向给定的服务器证明用户的身份，而无需通过网络发送密码或在本地用户的硬盘上缓存密码。Kerberos身份验证是内部IIS安装（仅由域客户端使用的网站）的最佳方法。

身份验证

–Kerberos比NTLM的一个主要优点是Kerberos提供了相互身份验证，并针对客户机-服务器模型，这意味着客户机和服务器的真实性都得到了验证。但是，服务和客户端都必须在Windows 2000或更高版本上运行，否则身份验证将失败。与仅涉及IIS7服务器和客户机的NTLM不同，Kerberos身份验证还涉及activedirectory域控制器。

ntlm与kerberos：比较图

总结 - ntlm的(of ntlm) vs. kerberos(kerberos)

虽然这两种协议都能够在不通过任何形式的网络传输密码的情况下对客户端进行身份验证，但NTLM通过基于客户端和服务器之间的三方握手的质询/响应机制对客户端进行身份验证。另一方面，Kerberos是一种基于票证的身份验证协议，它比NTLM更安全，并且支持相互身份验证，这意味着客户端和服务器的真实性都得到了验证。此外，Kerberos支持模拟和委托，而NTLM只支持模拟。NTLM不像Kerberos那样安全，因此总是建议尽可能多地使用Kerberos。