Проблемы делегирования
Протокол NTLM не поддерживает делегирование. После того как удостоверения клиента переданы серверу IIS, их нельзя передать какому-то другому серверу для аутентификации. Однако Kerberos поддерживает делегирование, что позволяет передавать удостоверения клиента другим процессам или компьютерам. Например, используя Kerberos, можно передавать удостоверения Web-пользователя на промежуточный уровень СОМ+, а через него базе данных Microsoft SQL Server, настроенную на использование интегрированной Windows-аутентификации. В Active Directory аутентификация Kerberos по умолчанию выключена. Прежде чем использовать Kerberos в качестве механизма делегирования, убедитесь, что ваша среда поддерживает этот протокол.
Применение в Интернете
Как NTLM, так и Kerberos редко применяются в Интернете. Главная проблема с использованием Kerberos в Интернете в том, что служба защиты должна быть централизована и доступна всем пользователям. А для этого нужна соответствующая инфраструктура. Кроме того, эти протоколы поддерживают только браузеры от Microsoft, что может стать ограничивающим фактором в зависимости от вашей клиентской базы.
Производительность и масштабируемость
Kerberos быстрее NTLM. Однако оба эти протокола медленнее базовой
аутентификации и некоторых нестандартных способов аутентификации.
Если вы рассчитываете, что множество пользователей будут регистрироваться одновременно, тщательно спроектируете конфигурацию Active Directory. Когда число потенциальных пользователей приближается к миллиону, для хранения имен пользователей и паролей может потребоваться высокопроизводительная база данных, например SQL Server. При делегировании контекста защиты в многоуровневом приложении вы, вероятно, столкнетесь с проблемами масштабирования. А точнее, вам неудастся воспользоваться такими решениями промежуточного уровня tier solutions), как пул соединений с базой данных.
