Exchange Server veya IIS Üzerinde Gördüğünüz Negotiate Ne Anlama Geliyor?
Microsoft sistemlerinde kimlik doğrulamak için genelde NTML ve Kerberos kullanılır. Hepimizin bildiği gibi Kerberos daha günce ve daha güvenlik bir iletişim sunar. Çünkü temel olarak bir kullanıcı bir kaynağa örneğin bir web sitesine erişmek istediğinde web sitesi ona kimsin sen sorusunu Kerberos üzerinden sorar ise kullanıcı mutlaka yetkili bir domain controller üzerinden token ya da session key dediğimiz özel anahtarlar almalıdır. Bu anahtarı alırken kullanıcı adı ve şifre bilgisini vermesi gerekir. Peki NTLM de sistem nasıl çalışıyor? NTLM de kimsin sen sorusunu sorar ve doğrudan kullanıcı adı ve şifre bilgisini alır. Temel olarak baktığınız zaman aslında ikisi de güvenlik anlamında aynı gibi görünür. Fakat buradaki temel konu yetkili otoritenin hala geçerli bir şifre için yetki vermesidir. Yani NTML bu noktada bir zafiyet içerir. Kerberos ise sürekli merkezi olarak kontrol edilen aktif ve güncel şifre bilgileri nedeni ile daha güvenli bir iletişim sunar. Tabiki bu noktada token süreleri de önemlidir. Varsayılan olarak alınan bu token süreleri 10 saat olduğu için bu süreleri çok uzatmamak ve her 10 saatte bir yenilemek için yine kullanıcının DC üzerindeki KDC servisinden yeni token almasını sağlamamız gereklidir.
Bu süreci resimli olarak anlatan çok güzel bir link var, Citrix sağ olsun yapmış, bende Türkçe özetlemiş oldum.
https://support.citrix.com/article/CTX221693
Özetlemek gerekir ise ;
Negotiate = Kerberos = Ticket
NTML özeti ise, NTLM = Username & Password;
Umarım faydalı olmuştur.