我需要对反向代理和Kerberos协议的相互作用有一些高层次的了解。
假设我有一个已经实现并正在运行的Web服务和客户端。现在我们将Web服务放入反向代理后面的网络中。网络中的内部身份验证位于反向代理后面,基于Kerberos。
现在我想知道这个新的基础架构是否会在Web服务端和客户端进行一些编程更改?这取决于
在这种情况下,最先进的是什么?
提前致谢!
答案 0 :(得分:4)
我想我找到了答案。 约束委派是我期望存在的Kerberos协议的功能。
如果我们使用基于相互证书的身份验证的SSL / TLS,则客户端将由代理进行身份验证,代理由本地CA(在隐藏的Intranet内)验证客户端的证书。之后,代理将代表已经过身份验证的客户端生成Kerberos票证。
在服务器端,票证验证应该在运行时级别进行(例如,通过IIS)。
因此,如果客户端能够通过SSL / TLS使用服务,那么Kerberos身份验证对客户端和服务器保持完全透明。