活动目录服务设置

Question

我是Active Directory编程的新手。我需要设置仅经过身份验证的活动目录用户可以使用的服务。我一直在阅读msdn文档。我对整个设置的想法如下，

1. 我已经在AD域中添加了我的电脑，已经创建了用户。 （均为手动）
2. 我编写了一个简单的REST服务，该服务在GET调用中返回“ Hello world”。我已经在https://docs.microsoft.com/en-us/windows/desktop/ad/publishing-with-service-connection-points中阅读了有关“服务发布”的信息。尽管现在不知道如何将REST服务注册为活动目录对象。在这个方向上的任何示例/线索都将有所帮助。
3. 我最后想要做的事情类似于https://docs.microsoft.com/en-us/windows/desktop/ad/mutual-authentication-using-kerberos

  

客户端应用程序使用Active Directory域服务中的服务实例的服务连接点（SCP）对象检索数据，以从中构成服务的SPN。

所以我的主要问题是可以像我的示例一样注册一个Web服务，以将其注册为活动目录“启用域”服务吗？

如果您需要有关上下文的更多详细信息，请告诉我。如果这个问题对您来说太简单了，那么我先向您道歉，到目前为止我已经环顾了几天，对我来说仍然不清楚:(

Answer 1

您至少有2个选项

• 当您有Java服务时，它是从一些Java http服务器（码头，tomcat，netty或其他任何服务器）提供的。根据您所使用的MS环境，配置Http服务器以使用Kerberos或NTLM或同时针对这两个Windows域对Windows域进行身份验证/授权。根据所使用的http服务器，您可以找到一些特定于集成方式的服务器，例如https://tomcat.apache.org/tomcat-8.0-doc/windows-auth-howto.html或查看一般的Java Howtos，例如https://docs.oracle.com/javase/10/security/single-sign-using-kerberos-java1.htm
• 或者您可以使用现有的IIS（如果有的话）作为您服务的代理，并在其中配置身份验证/授权，因为它具有必要的集成ootb

在这两种情况下，您都需要处理一个用于服务/ http服务器的AD帐户，与此帐户绑定的SPN（例如HTTP / yourservice.com）和密钥表。

其余的取决于您要实现的集成水平。

希望有帮助。