1

我在一个域中拥有带有 w2k8 和 IIS7 的服务器,并在其他一些外国域(无信任)中拥有 keytab。是否可以启用 Windows 身份验证 (SPNEGO/Kerberos) 以对来自这些外部域的 Web 应用程序中的用户进行身份验证?

4

1 回答 1

0

这在理论上是可能的,但使其工作的后勤工作几乎不可能实施。

我不知道 IIS 是否支持这一点,但可以在 kerberos API 中说“尝试使用 keytab 中的每个密钥解密此响应”。理论上,这可以与来自远程领域的键一起使用,尽管我从未见过代码尝试过它。

但是,问题是客户端需要根据协议之外的信息来决定用于发出请求的领域和主体。因此,在联系 w2k8 域中的网络服务器时,您需要以某种方式告诉远程域中的所有 Web 客户端使用远程域。您可以在 unix 机器上使用 krb5.conf 执行此操作,但它需要在每个使用远程领域身份的客户端上自定义 krb5.conf。

通常,如果启用了某种跨领域信任,kerberos 将仅在多个领域中工作。

于 2014-12-02T03:53:04.287 回答