我有一个我们客户的员工使用的 Web 应用程序 (ASP.NET/C#),我们支持的身份验证方法之一是通过 LDAP 的外部 Active Directory。
我最近有一个请求来支持带有 AD 的 Kerberos。
从发展的角度来看,这意味着什么?我知道 Unix 世界中 Kerberos 的基础知识,但不确定它如何适应 AD/LDAP
目前,我使用标准 LDAP 与服务帐户绑定以查找用户,然后使用他们提供的凭据以该用户身份绑定以验证登录。
需要什么不同的方式来支持 Kerberos?我的 Google-fu 让我失望了。
为了清楚起见,应用服务器与 AD 服务器不在同一个域中。
编辑:
甚至可以通过 Internet 连接进行 Kerberos 身份验证吗?
Greg 这是您需要查看的内容。如果您需要任何代码示例的帮助,请告诉我。我目前在Active DirectoryGroup 工作,并且有 8 年以上的 C# 编码经验AD and LDAP
you should still be able to validate user credentials if they sit on 2 different domains you want to look at the following PrincipalContext, 'UserPrincipal', 'GroupPrincipal if necessary', and ValidateCredentials which is probably the one you want the most
Kerberos 已成为 Windows 的标准超过 13 年(自 Windows 2000 起)。您需要做的就是在您的 IIS 中启用带有 SPNEGO/Kerberos 的 Windows Auth。如果您有胖客户端,则可以使用 SSPI 获取安全上下文并从中读取当前登录的 Kerberos UPN。我已经在 SO 上多次回答过这类问题。请搜索。