我在不同的森林中有两个DC(abc.com和xyz.com)&我和他们之间有信任。我在abc.com KDC和Zscaler(在云中运行的http代理服务)之间有一个kerberos领域信任。这种信任是可传递的。
现在,我有一个客户(用户),他是xyz.com的一部分。 用户以user@xyz.com身份登录到计算机。 他会打开浏览器并尝试浏览。 他会向Zscaler代理发送HTTP GET。(比方说abc.com)。 在访问abc.com之前,Zscaler会重定向用户以获取服务票证。 此用户必须从xyz.com向abc.com索取TGT。 然后客户端应该向Zscaler KDC索取TGT到abc.com。 然后,客户将从Zscaler KDC请求服务票证。
我面临的问题是这个。 如何让我的客户请求为abc.com提供TGT,然后向Zscaler KDC索取TGT到abc.com。
在这种情况下,只有abc.com KDC与Zscaler KDC有一个领域信任。