アプリケーション用に Kerberos 化されたログイン モジュールをプログラムしようとしていますが、いくつかの概念が不明です。
私はmod_auth_kerb
Apache HTTPサーバーからソースコードを読んでMIT Kerberos APIを学んでいます(より良い出発点が見つからず、オンラインでAPIチュートリアルやデモコードが見つかりませんでした)。それから、キータブファイルまたはユーザーが入力したパスワードのいずれかによって、最初の機密情報を取得する必要があることがわかりました。私を大いに混乱させているのは、OS にログインするときに既に持っているということです。プリンシパルのkinit
チケットは までに持っていると確信しています。krbtgt/LOCALHOST@LOCALHOST
klist
krb5_get_init_cred_password/keytab
- はいの場合、私の OS アカウントは Kerberos の有効なプリンシパルであり、TGS へのチケットを取得したので、最初の機密情報を再度取得する必要があるのはなぜですか? それは Kerberos のシングル サインオン機能に違反していませんか?
- そうでない場合、コードでプリンシパルのチケットを取得するにはどうすれば
krbtgt/LOCALHOST@LOCALHOST
よいでしょうか。たとえば、ログイン アカウントを対応する Kerberos プリンシパルに関連付けるにはどうすればよいでしょうか?
ところで、オンラインで入手できる優れた MIT Kerberos API チュートリアルはありますか? 公式の開発者向けマニュアルは完成していますが、そこから始めると、辞書から第二言語を学ぶような気分になります:)。
どうもありがとうございました。