Có cách nào để có được thông tin đăng nhập của Kerberos hai lần không? Tại sao không?


8

Cả cuộc đời kỳ lạ của tôi, tôi đã xử lý giới hạn này của Tên miền Windows

  1. Đăng nhập - bảng điều khiển
  2. Tích hợp xác thực vào một cái gì đó (thường là ứng dụng web)
  3. Thông tin đăng nhập của tôi không thể chuyển sang máy chủ khác (ví dụ: cơ sở dữ liệu hoặc hệ thống tệp). Họ phải tin tưởng máy 2.

Có một cấu hình thay đổi hành vi này? Trong nhiều trường hợp, 3 bước nhảy sẽ thuận tiện đáng kinh ngạc.

Lý do cụ thể mà thông tin đăng nhập không nên ủy nhiệm hai lần (client-> server-> server) là gì?

Câu trả lời:


8

Hoàn toàn - đây là phái đoàn Kerberos và nó cực kỳ mạnh mẽ.

Bạn cần đọc một vài bài viết của TechNet trước:

Và sau đó đọc các bài đăng trên blog fanstastic của Ken Schaefer trên Kerberos:

Nhưng về cơ bản, khi SPN của bạn được thiết lập và bạn biết Kerberos đang hoạt động, bạn đi đến Đối tượng máy tính trong Active Directory và chọn nút radio "Tin tưởng máy tính này để ủy quyền" trên tab Phân quyền.

Từ: Hỏi nhóm dịch vụ thư mục

Bài viết của Ken về phái đoàn đơn giản sẽ bao gồm mọi thứ bạn cần.

BTW: Bạn đã rất gần với tìm kiếm đúng: "Xác thực Double Hop" sẽ dẫn bạn đến bài viết này từ blog của nhóm dịch vụ thư mục : Tìm hiểu về Kerberos Double Hop


Tuyệt vời - cảm ơn! Tôi nghi ngờ lý do tôi thường không thấy điều này được giải quyết là vì những người viết mã không nói chuyện với những người sysadmin - và hầu hết các ứng dụng chỉ hoạt động xung quanh bước nhảy kép.
Kết thúc

1

Mặc dù tôi không biết câu trả lời cho Windows (là một người Linux / UNIX), nhưng điều bạn cần đảm bảo trong giới hạn là bạn yêu cầu một vé có thể chuyển tiếp.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.