1つのドメインにw2k8とIIS7を備えたサーバーと、他の外部ドメインからのキータブがあります(信頼なし)。Windows 認証 (SPNEGO/Kerberos) を有効にして、これらの外部ドメインから Web アプリケーションのユーザーを認証することはできますか?
質問する
809 次
1 に答える
0
理論的には可能ですが、それを機能させるためのロジスティクスを実装するのはほぼ不可能です。
IIS がこれをサポートしているかどうかはわかりませんが、kerberos API で「キータブのすべてのキーを使用してこの応答を復号化してみてください」と言うことができます。理論的には、これはリモート レルムのキーで使用できますが、コードがそれを試みるのを見たことはありません。
ただし、問題は、クライアントがプロトコル外の情報に基づいてリクエストを行うために使用するレルムとプリンシパルを決定する必要があることです。したがって、w2k8 ドメインの Web サーバーに接続するときにリモート ドメインを使用するように、リモート ドメインのすべての Web クライアントになんらかの方法で指示する必要があります。これは、UNIX マシンで krb5.conf を使用して実行できますが、リモート レルムの ID を使用するすべてのクライアントでカスタム krb5.conf が必要になります。
一般に、ある種のクロス レルム トラストが有効になっている場合、Kerberos は複数のレルム間でのみ機能します。
于 2014-12-02T03:53:04.287 に答える