Kerberos身份验证和反向代理的相互作用

时间:2012-11-23 09:42:00

标签: web-services kerberos reverse-proxy

我需要对反向代理和Kerberos协议的相互作用有一些高层次的了解。

假设我有一个已经实现并正在运行的Web服务和客户端。现在我们将Web服务放入反向代理后面的网络中。网络中的内部身份验证位于反向代理后面,基于Kerberos。

现在我想知道这个新的基础架构是否会在Web服务端和客户端进行一些编程更改?这取决于

  1. 反向代理是否在此Intranet中充当客户端,使用自己的票据
  2. 或者外部客户是否必须知道这个额外的身份验证层,并且必须能够自己请求门票
  3. 在这种情况下,最先进的是什么?

    提前致谢!

1 个答案:

答案 0 :(得分:4)

我想我找到了答案。 约束委派是我期望存在的Kerberos协议的功能。

如果我们使用基于相互证书的身份验证的SSL / TLS,则客户端将由代理进行身份验证,代理由本地CA(在隐藏的Intranet内)验证客户端的证书。之后,代理将代表已经过身份验证的客户端生成Kerberos票证。

在服务器端,票证验证应该在运行时级别进行(例如,通过IIS)。

因此,如果客户端能够通过SSL / TLS使用服务,那么Kerberos身份验证对客户端和服务器保持完全透明。