Can AD Membership Provider être configuré pour utiliser Kerberos

Question

J'ai une application web qui utilise le fournisseur d'adhésion Active Directory et quand un utilisateur change son mot de passe, ils peuvent se connecter avec l'ancien mot de passe ou le nouveau mot de passe pendant un moment.

Cet article de la base de connaissances (http://support.microsoft.com/kb/906305/en-us) m'amène à que ce comportement est dû à l'authentification NTLM.

Existe-t-il un moyen de configurer le fournisseur d'appartenances AD pour qu'il effectue uniquement l'authentification Kerberos et non NTLM?

REMARQUE: Mon application configure le fournisseur avec un ensemble de paramètres minimum, de sorte que tous les paramètres de configuration sont définis par défaut.

Answer 1

Il ne semble pas que vous puissiez changer la méthode utilisée. Il est étrange que les deux mots de passe fonctionnent toujours à moins que les informations d'identification ne soient mises en cache localement comme s'il s'agissait d'une machine déconnectée (semblable à ce qui se produit lorsque vous déconnectez une machine d'un domaine et vous y connectez). Cela ne semble pas être le cas du fournisseur lui-même, sauf si le fournisseur met en cache les informations d'identification. Je n'ai rien vu pour l'expiration des informations d'identification qui me porte à croire que ce n'est pas le cas.

Il semble étrange qu'ils puissent se connecter avec les deux mots de passe, je voudrais attendre l'un ou l'autre de travailler, selon le décalage de réplication GC entre DC ou quelque chose le long de ces lignes.