2015-10-29 3 views
0

Вопрос:Какова область действия сеанса tcp при использовании AuthPersistNonNTLM?

Как объем TCP сессии контролируемого когда authPersistNonNTLM включена?

Предыстория:

Я делаю профилирование производительности на ASP.NET приложения размещенного в IIS 7, который использует Kerberos для аутентификации это, мы видим, что время отклика при проверки подлинности Windows используется значительно увеличилось (в несколько раз больше, чем 1000%) по сравнению с только анонимной аутентификацией.

После некоторого поиска я кулак по this article, который предложил использовать параметр authPersistNonNTLM, чтобы уменьшить количество круглых поездок на сервер.

Теперь я снова запускаю свои тесты с включенным включением и действительно вижу существенное улучшение.

Однако я не знаю, как это работает, и мы имеем следующий сценарий, который вызывает некоторые вопросы о потенциальных дырах в безопасности.

Сценарий:

Один из наших приложений является толстым клиентом WPF и он подключается к нескольким службам ASP.NET, что мы будем искать, чтобы применить эту настройку к. Машины, на которых установлен клиент, разделяются между пользователями (с отдельными входами в систему), которые могут иметь разные настройки разрешений в службах ASP.NET. Поэтому беспокойство будет заключаться в том, что пользователь с более высокими привилегиями выходит из системы в течение дня, новый пользователь с меньшими привилегиями входит в систему и сохраняет разрешения предыдущего пользователя.

Я проверил некоторые начальные испытания дыма, и это швы, как этот сценарий обрабатывается должным образом, но я хотел бы понять технические детали того, что происходит, чтобы быть уверенным.

ответ

1

Что делается сервером, так это то, что он хранит аутентифицированный контекст SSPI в/с соединением. Это означает, что соединение привязано к пользователю, и ваш клиент не должен повторно использовать это соединение, если вы олицетворяете пользователя этой связью. Поскольку сервер не будет загружаться для auth, вы теоретически выполняете кражу личных данных. Я уверен, что Microsoft действительно реализовала это правильно в своем стеке HTTP, хотя у него есть другие проблемы.

Вся конфиденциальная информация (контекст SSPI) должна быть удалена сервером, как только соединение HTTP (TCP) будет снижаться. Код Microsoft закрыт, поэтому я могу делать допущения только, но у меня есть некоторый рабочий код C, чтобы показать вам, как это будет работать.

+0

Хотя это ценная информация и может указать мне в правильном направлении на поиск ответа, на самом деле он не отвечает на мой вопрос, мне нужно знать, при каких обстоятельствах эта сессия закрыта/истекла, есть ли какое-то истечение срока действия, он привязан к конкретному экземпляру клиентского приложения, такого рода вещи – Phaeze

+0

@Phaeze Я изменил свой ответ. –

 Смежные вопросы

  • Нет связанных вопросов^_^