我知道 Active Directory 默认使用 Kerberos 协议进行身份验证。我听说 Active Directory 默认使用 LDAP 进行授权。但是,我找不到任何资料说明这一点,也找不到任何资料说明 Active Directory 使用什么协议进行授权。
答案1
我认为 LDAP 声明不正确。我不知道任何特定的授权协议,它的工作原理如下:
Active Directory 用户授权可保护资源免受未经授权的访问。在用户身份验证过程之后,实际授予的访问类型取决于分配给用户的用户权限以及用户希望访问的对象所附加的权限。每个对象都有与之关联的访问控制列表。
DACL——自由访问控制列表 (DACL) 指定允许或拒绝访问特定对象的用户帐户和组的列表。
SACL - 系统访问控制列表 (SACL) 定义应对用户或组进行审核的操作,例如读取、写入或删除。
每个列表由访问控制条目组成,这些条目列出了允许或拒绝用户或组的权限。每次用户登录时,都会为用户创建一个访问令牌。访问令牌由个人 SID、组 SID 和用户权限组成。
当用户请求访问特定对象时,访问令牌中的单个 SID 和组 SID 会与 DACL 条目进行比较,以查看用户是否被明确拒绝访问。然后检查是否可以明确允许所请求的访问。重复这些步骤,直到遇到“无访问权限”或收集到足够的信息以授予对资源的访问权限。