Làm thế nào các hệ thống (máy tính xách tay) không có trên miền có thể truy cập cùng một tài nguyên mạng chỉ bằng tên người dùng và mật khẩu của người dùng thư mục hoạt động?
Nó phụ thuộc vào "tài nguyên mạng" nào có liên quan. Trên máy tính Windows đã gia nhập miền mà bạn đã đăng nhập, có ít nhất hai danh tính khách hàng Kerberos đang chơi:
- bạn, người dùng @ DOMAIN
- máy tính, máy trạm $ @ DOMAIN
Ngoài ra còn có máy chủ / máy trạm @ DOMAIN, nhưng nói chung đó là nhận dạng của một dịch vụ đang chạy trên máy chủ, được truy cập từ nơi khác. Nếu một quy trình đặc quyền trên máy chủ muốn thực hiện điều gì đó - giả sử, hãy thêm tên của nó vào DNS bằng DNS động được xác thực Kerberos - nó sẽ sử dụng danh tính của nó để làm như vậy, máy trạm $ @ DOMAIN. Tuy nhiên, nếu trong phiên đăng nhập của bạn tự truy cập một số tài nguyên - giả sử chia sẻ mạng CIFS hoặc URL HTTP được xác thực - thì danh tính khách hàng là tên chính của bạn , người dùng @ DOMAIN (thông tin đăng nhập được lấy tự động cho bạn bằng cách sử dụng mật khẩu bạn đã nhập để đăng nhập). Từ câu hỏi của bạn, bạn dường như nghĩ rằng một số kết hợp có liên quan; Không phải, chúng là riêng biệt.
Đây là lý do tại sao không có vấn đề gì khi sử dụng Kerberos để truy cập các tài nguyên dựa trên Windows từ các nền tảng khác. Bạn cũng có thể nhập "kinit user" trên hộp Linux, nhập mật khẩu của bạn để nhận thông tin xác thực Kerberos (TGT) từ bộ điều khiển miền và sau đó sử dụng Firefox để truy cập trang web được xác thực Kerberos trên IIS. Các giao thức cho tất cả điều này là tiêu chuẩn và bạn không cần bất cứ điều gì ngoại trừ thông tin người dùng của bạn.
Một câu trả lời trước đây cho rằng NTLM là bắt buộc trong trường hợp này; đó là sai (mặc dù chắc chắn nó có thể được sử dụng). Tuy nhiên, khi bạn truy cập một số tài nguyên từ một máy tính không thuộc miền và được nhắc nhập tên người dùng và mật khẩu của bạn, bạn không nhất thiết phải biết phương thức xác thực nào đang được sử dụng. Nó có thể sử dụng Kerberos. Nó cũng có thể quay trở lại cơ chế dựa trên mật khẩu, theo đó nó sẽ gửi tên người dùng và mật khẩu của bạn đến máy chủ để xác minh và sau đó lưu mật khẩu của bạn để bạn không phải nhập lại. Nhiều giao thức cho phép cả hai thông qua các sơ đồ trừu tượng như SASL. Bạn sẽ phải nhìn vào dây để xem chuyện gì đang xảy ra.