我有一个客户员工使用的Web应用程序(ASP.NET / C#),我们支持的一种身份验证方法是通过LDAP的外部Active Directory .
我最近有一个请求支持AD的Kerberos .
从发展的角度来看,这会带来什么?我知道Unix世界中Kerberos的基础知识,但不确定它如何适应AD / LDAP
目前,我使用标准LDAP与服务帐户绑定以查找用户,然后使用其提供的凭据绑定该用户以验证登录 .
支持Kerberos需要什么?我的Google-fu让我失望了 .
为清楚起见,应用程序服务器与AD服务器不在同一个域中 .
EDIT:
甚至可以通过互联网连接进行Kerberos身份验证吗?
2 回答
Greg在这里你需要看看..如果你需要任何代码示例的帮助让我知道..我目前在
Active Directory
小组工作并有8年的经验编码C#为AD and LDAP
you should still be able to validate user credentials if they sit on 2 different domains you want to look at the following PrincipalContext, 'UserPrincipal', 'GroupPrincipal if necessary', and ValidateCredentials which is probably the one you want the most
Kerberos已经在Windows中成为标准超过13年(从Windows 2000开始) . 您需要做的就是在IIS中启用带有SPNEGO / Kerberos的Windows Auth . 如果您有胖客户端,则可以使用SSPI获取安全上下文并从中读取当前登录的Kerberos UPN . 我已经多次回答过这样的问题了 . 请搜索 .