Здравствуйте, Neco, Вы писали:

N>Здравствуйте, Аноним, Вы писали:

А>>Сложнее дело обстоит со случаем, когда бравзер считает что сервер в локальной сети (интранете). В этом случае клиент использует Kerberos.
N>он Пытается использовать Kerberos.
N>т.е. отсылает запрос в KDC с указанием SPN и если оттуда облом, то дальнейшие движения по NTLM.
N>есть программулинка WireShark — через неё этот диалог отлично видно.

Спасибо за ответ, но меня интересовал ответ вопрос, почему в моем случае аутентификация вообще работает? Причем я так понимаю она происходит по протоколу керберос, потому что бравзер не показывает диалога для ввода креденшелов.

Т.е. перефразировать вопрос можно так. Каким публичным ключем KDC шифрует TGT, который бравзер отсылает веб серверу?
Я так понимаю в моем случае он его должен шифровать публичным ключем пользователя mydomain\computer$, т.к. аппликейшен пул моего веб приложения запущен под пользователем NetworkService.
Напомню что имя хоста по которому бравзер доступается в вебсерверу webserver.mydomain.local т.е. отличается от имени компьютера (computer) в Active Directory. В Active Directory также нету SPN HTTP\webserver.mydomain.local для аккаунта mydomain\computer$.

По поводу Ethereal спасибо за совет. Обязательно попробую, когда буду иметь доступ к среде. А пока хотелось бы собрать больше информации.