我们在服务器 2003 和服务器 2008 R2 环境中工作。
我熟悉 Kerberos 协议的基本用法,当客户端尝试使用共享资源(服务器、文件夹、打印机等)时,该协议会对其进行身份验证。
我们有三个内部开发的不同且独立的 .NET 应用程序(应用程序 A、应用程序 B 和应用程序 C),但它们需要出于特定原因进行通信(A 仅从 B 和 C 接收消息,而 C 仅从 B 接收消息)。
是否可以配置 Kerberos 服务以对两个 .NET 应用程序之间的消息/请求进行身份验证?(我们将进行应用程序到应用程序的身份验证,而不是用户-服务器身份验证)
答案1
通常,应用程序以某种身份运行,可以是用户身份,也可以是计算机身份。这些安全主体可以根据 Kerberos 域/领域进行身份验证。此外,授权可能由 pac(特权属性证书)中的条目决定。如果应用程序不在域用户或计算机身份下运行,Kerberos 可能没什么用。
在这种情况下,一个选择可能是证书认证。