Почему не может NTLM двойной прыжок?

Question

Я понимаю, что NTLM является протоколом ответа на вызов, тогда как Kerberos передает билет. Большая часть информации, с которой я сталкиваюсь, просто говорит, что именно по этой причине Kerberos может удвоить скачок, но NTLM не может, не объясняя, почему NTLM не может просто перенаправлять ответы и проблемы.

есть, почему не такой сценарий возможно:

клиент проверяет подлинность с передним концом сервером, сервер переднего плана, то необходимо проверить подлинность с фоновым сервером от имени клиента. Затем передняя часть пытается аутентифицировать и отправляет имя пользователя, а затем выполняет вызов перед внешним интерфейсом, передняя часть перенаправляет эту проблему клиенту, клиент выдает ответ, который передним концом пересылает этот ответ на задний план.

Я знаю, что это не работает так, но мне интересно узнать о специфике. Почему сервер не может реагировать на вызовы и проблемы, связанные с двойным прыжком?

Спасибо.

Answer 1

Несмотря на то, что вы могли направить запрос/ответные сообщения через посредника, то, что вы описываете, невозможно. То, что вы описали, на самом деле не является проверкой подлинности с двойным ходом, то, что вы описываете, пытается дважды аутентифицировать один сеанс. NTLM аутентифицирует сеанс , и клиент не должен повторно аутентифицировать уже прошедший проверку сеанс.

То есть, в вашем примере после того, как клиент прошел аутентификацию с помощью «front end server», этот внешний сервер не смог затем отправить новый вызов.