1
하나의 도메인에 w2k8 및 IIS7이 있고 다른 외부 도메인 (트러스트 없음)의 키탭이 있습니다. 해당 외부 도메인의 웹 응용 프로그램에서 Windows 인증 (SPNEGO/Kerberos)을 사용하여 사용자를 인증 할 수 있습니까?외부 도메인 키탭이있는 IIS의 SPNEGO/Kerberos
A
답변
0
이론적으로는 가능하지만 작동시키기위한 물류는 구현이 불가능합니다.
IIS가 지원하는지는 잘 모르겠지만 kerberos API에서 "키탭의 모든 키를 사용하여이 응답의 암호 해독을 시도하십시오"라고 말하면됩니다. 이론적으로, 코드를 시도한 적이 없지만이 코드는 원격 영역의 키를 사용하여 으로 사용할 수 있습니다.
그러나 문제는 클라이언트가 프로토콜 외부의 정보를 기반으로 요청을 으로 만드는 데 사용할 영역 및 보안 주체를 결정해야한다는 것입니다. 따라서 w2k8 도메인의 웹 서버 에 접속할 때 원격 도메인을 사용하는 모든 웹 클라이언트에게 원격 도메인을 사용하도록 알릴 필요가 있습니다. 유닉스 시스템에서는 krb5.conf를 사용하여이 작업을 수행 할 수 있지만 원격 영역의 ID를 사용하는 모든 클라이언트에 사용자 정의 krb5.conf가 필요합니다.
일반적으로 kerberos는 어떤 종류의 상호 영역이있는 경우에만 여러 영역에서 작동합니다. 신뢰 사용.
+0
"따라서 원격 도메인의 모든 웹 클라이언트에게 w2k8 도메인의 웹 서버에 연결할 때 원격 도메인을 사용하도록 알릴 필요가 있습니다." 나는 이것이 DNS의 조작에 의해 가능하다고 생각했다. 말하자면 - 웹 서버 (domainfoo)의 자체 도메인 내부에 DNS 기록 webserver.domainfoo.com이 있지만 다른 도메인 (도메인 바)의 사용자는 DNS 서버에 webserver.domainbar.com으로 볼 수있는 레코드가 있습니다. –
+0
그래서 나는 HTTP/webserver.domainbar.com에 대한 도메인 바에서 keytab을 생성했고, keytab 파일을 웹 서버로 전송했으며, 웹 서버에서 사용하기위한 방법이 필요합니다. –
+0
kerberos libs가 서비스 주체를 만들기 전에 DNS 이름을 정규화하므로 일반적으로 DNS 트릭이 작동하지 않습니다. –
원격 영역에있는 HTTP/foobar.com 서버의 키탭입니까? –