用于我的服务器上基于 Kerberos 的用户身份验证的域身份验证

用于我的服务器上基于 Kerberos 的用户身份验证的域身份验证

假设用户进程已通过 kerberos 针对域的目录服务器进行了身份验证,然后尝试打开到我的服务器应用程序的网络套接字。

我的服务器应用程序有一个来自域目录服务器的用户白名单。

我的服务器应用程序如何根据此套接字打开尝试从目录中验证用户身份?

(为了简单起见 - 假设我的服务器是用 Java 编写的,目录服务器是 Active Directory)


编辑我的问题是关于客户端如何请求身份验证令牌。

答案1

本质上,你需要使用Java 身份验证和授权服务 (JAAS)让您的服务器与 Active Directory 的 KDC 进行通信。服务器将向客户端请求身份验证令牌,然后将其提供给 KDC 以验证客户端,然后根据白名单继续操作。

本文有一个相当广泛的示例,包括代码,用于执行这些任务。

答案2

客户端请求身份验证令牌的方式取决于:

  1. 客户端使用的语言/库
  2. 客户端将部署的操作系统

通常客户端会依赖操作系统暴露的API来获取token。

相关内容