iis 能否针对两个不具有信任关系的独立 AD 进行身份验证?

iis 能否针对两个不具有信任关系的独立 AD 进行身份验证?

首先,我对 IIS 的经验很少,我更喜欢使用 linux/apache/nginx。

现在我有一个专有应用程序在旧的 IIS(w2003,我知道它已不再受支持)上运行,该应用程序当前正在使用集成 Windows 身份验证针对域 A 进行身份验证。

我还需要让它针对完全独立的 w2003 AD 进行身份验证。我可以在两个网络之间路由。这在内部网络上都有效。

该应用程序目前将每个域 A 用户映射到其个人帐户和详细信息,域 B 用户也应如此。显然我无法以任何方式更改该应用程序。

我想我可以在域 A 和域 B 之间建立信任,但如果可能的话,最好避免这种情况。说来话长。

我想知道是否还有其他方法,例如:让 IIS 也根据 LDAP 验证用户,并让 domainB AD 充当该 LDAP。或者其他。任何可行的方法都可能很有趣。

答案1

如果没有信任,你几乎肯定会倒霉,除非应用程序明确支持添加第二个域身份源(这需要涉及提供第二个域的凭据)。

即使有了信任,您仍然可能运气不佳,这取决于应用程序编写得如何以及它是否假设只存在于单域林中。很多应用程序作者在这种事情上都是目光短浅的。

如果它奇迹般地在信任下工作,您最终仍可能会遇到随机中断的极端情况。比如,如果来自不同域的两个用户碰巧有相同的用户名,会发生什么?他们可能会映射到应用程序内的同一个“帐户”。它可能只会抛出一个错误。

当您开始谈论 LDAP 和其他身份验证协议时,您开始模糊 IIS 的责任和应用程序的责任之间的界限。具体来说,对于 LDAP,Web 服务器并不关心它。使用 LDAP 身份验证的应用程序通常会将 Web 服务器配置为基本身份验证(希望通过 SSL),并且所有 LDAP 连接都在应用程序逻辑中处理。

我不想让人扫兴。但是有了专有应用程序和这样的遗留环境,你的前景就不那么好了。

相关内容