我们已设置 IIS 和 SQL 服务器,并已实施 Kerberos 以直接使用 SQL Sercurity。
我们有一个 AD 林:Internal.local,并且那里的设置运行良好。
现在客户想要通过 external.com 进行外部访问,当然我们不能使用当前的 kerberos 设置。在内部,我们可以访问 internal.local - 获取 kerberos 票证 - 访问 external.com 并继续使用该票证。
但是有没有解决方案可以让 kerberos 适用于 external.com 访问?
我想我们必须以某种方式信任他们两个??
答案1
您可以在任意两个领域之间设置跨领域。您需要做的就是在两个领域中安装共享密钥。
使用 AD 执行此操作有点棘手,因为 AD 通常设置为允许身份验证和授权。这是一份关于所涉及问题的很好的幻灯片
http://www.kerberos.org/events/2010conf/2010slides/2010kerberos_dmitry_pal.pdf
然而,跨域通常比人们最初想象的要少得多。跨域最基本的形式只允许你的域进行身份验证[电子邮件保护]. 然后每个应用程序必须弄清楚[电子邮件保护]被允许执行 (授权)。通常,这意味着将远程 Kerberos 主体映射到对您的应用程序有意义的某个本地帐户名。