この作業では、Apple Open Directory サーバーを実装しました。全員のユーザー名とパスワードを保存し、LDAP と Kerberos を実装します。私は、すべての ASP.Net Web アプリケーションを認証するように構成する任務を負っています。これにより、ユーザーは Open Directory のユーザー名とパスワードを使用して ASP.Net アプリケーションにログインできるようになります。
IIS と ASP.Net を除いて、mod_auth_kerb のようなものが必要で、フォームベースの認証を使用したいと考えています。
これは可能ですか?
IISは、私が知る限り、NTLM認証用のKerberosのみをサポートしています。二次Kerberos対応のライブラリまたはソフトウェアを見たことがありません。(本当のKerberos)これで、.NetのLDAPライブラリを使用して、Kerberos方式でサーバー間で通信できますが、ユーザークライアントとasp.netサーバー間の接続はSSLプレーン/テキスト接続のままです。
私もそれが行われるのを見たことがありませんが、それはできるはずです...asp.netサーバーがAppleOpen Directoryサーバーと信頼関係を持っていて、2つの間でLDAP接続が確立されている場合、 IISレベルでNTLM認証を有効にすると、(理論的には)信頼を介してAODへのKerberos接続が拡張されます。繰り返しになりますが、私はそれを考えたことさえなかったので、それを試みることの落とし穴が何であるかわかりません。
DirectoryServicesを使用してLDAPプロトコルを介して他のActiveDirectoryに接続することに成功しましたが、NTLMを使用せずにクライアントと認証サーバーの間にKerberos接続を埋め込む方法がまだ見つかりません。
IIS で Kerberos 認証を使用するには、保護されたリソースの認証の種類を "Windows 認証" にする必要があります。これにより、IIS は Negotiate (spnego) 認証を使用するようになります。Kerberos が機能するには、サーバーがドメインのメンバーである必要があります。可能であれば、Kerberos 認証をより適切に処理するため、Server 2008 または Server 2008 R2 マシンを使用することをお勧めします。
しばらくの間、Mac サーバーを扱う機会がありませんでしたが、Open Directory が Windows ドメイン メンバーにサービスを提供できることは理解しています。承認については、ASP から LDAP ディレクトリにクエリを実行するか、独自の内部承認メカニズムを使用する必要があります。
編集: この Microsoft KB 記事は役に立つかもしれません: http://msdn.microsoft.com/en-us/library/aa480475.aspx