6

リバースプロキシとKerberosプロトコルの相互作用についてある程度理解する必要があります。

すでに実装されて機能しているWebサービスとクライアントがあると仮定します。次に、Webサービスをリバースプロキシの背後にあるネットワークに配置します。リバースプロキシの背後にあるネットワークの内部認証は、Kerberosに基づいています。

ここで、この新しいインフラストラクチャによって、Webサービス側とクライアント側でプログラム上の変更が必要になるかどうかを知りたいですか?これは

  1. リバースプロキシが独自のチケットを使用してこのイントラネットのクライアントとして機能するかどうか
  2. または、外部クライアントがこの追加の認証レイヤーを認識し、それ自体でチケットを要求できる必要があるかどうか。

そのような状況での最先端は何ですか?

前もって感謝します!

4

1 に答える 1

4

私は答えを見つけたと思います。制約付き委任は、私が期待していた Kerberos プロトコルの機能です。

相互証明書ベースの認証で SSL/TLS を使用する場合、クライアントはプロキシによって認証されます。プロキシは、ローカル CA (非表示のイントラネット内) によってクライアントの証明書を検証します。その後、プロキシは、認証済みのクライアントに代わって Kerberos チケットを生成します。

サーバー側では、チケットの検証は実行時レベル (IIS など) で行われる必要があります。

したがって、クライアントが SSL/TLS を介してサービスを利用できる場合、Kerberos 認証はクライアントとサーバーに対して完全に透過的なままです

于 2012-11-23T14:09:04.117 に答える