[英]SPNEGO/Kerberos in IIS with foreign domain keytab
我在一個域中有帶有w2k8和IIS7的服務器,而在其他某個外部域中則具有keytab(不信任)。 是否可以啟用Windows身份驗證(SPNEGO / Kerberos)從那些外部域對Web應用程序中的用戶進行身份驗證?
從理論上講這是可能的,但是使它工作的后勤幾乎是不可能實現的。
我不知道IIS是否支持它,但是在kerberos API中可能會說“嘗試使用keytab中的每個密鑰來解密此響應”。 從理論上講,這可以與遠程領域的鍵一起使用,盡管我從未見過代碼嘗試過。
但是,問題在於客戶端需要根據協議外部的信息來決定用於發出請求的領域和主體。 因此,在聯系w2k8域中的Web服務器時,您需要以某種方式告訴遠程域中的所有Web客戶端使用遠程域。 您可以在unix機器上使用krb5.conf來執行此操作,但是在每個客戶端上都需要使用遠程領域中的標識來定制krb5.conf。
通常,如果啟用了某種跨域信任,則Kerberos只能在多個域中工作。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.