我在一个域中拥有w2k8和IIS7的服务器,以及来自其他一些外域(无信任)的keytab。是否可以启用Windows身份验证(SPNEGO / Kerberos)从这些外部域中授权Web应用程序中的用户?
答案 0 :(得分:0)
这在理论上是可行的,但使其成功的后勤工作几乎无法实施。
我不知道IIS是否支持,但是在kerberos API中可以说 “尝试使用keytab中的每个密钥解密此响应”。从理论上讲,这可以使用 使用来自远程领域的密钥,虽然我从未见过代码尝试过它。
然而,问题是客户需要决定要使用的领域和主体 基于协议外的信息的请求。因此,你需要以某种方式告诉所有人 来自远程域的Web客户端在联系Web服务器时使用远程域 在w2k8域中。您可以在unix机器上使用krb5.conf执行此操作,但它需要一个 使用远程领域中的标识在每个客户端上自定义krb5.conf。
一般来说,如果存在某种交叉领域,kerberos只能在多个领域中工作 信任已启用。