在这里工作,以验证进入Kerberos(苹果开放目录)的服务器,我们只是实现了苹果开放式目录服务器。它存储每个人的用户名和密码,并实现LDAP和Kerberos。我的任务是配置所有的ASP.Net Web应用程序以进行身份验证 - 因此用户可以使用他们的Open Directory用户名和密码登录到我们的ASP.Net应用程序。如何在ASP.Net
我需要这样的东西mod_auth_kerb所,除了IIS和ASP.Net - 我想使用基于表单的身份验证。
这可能吗?
仅作为IIS据我所知支持NTLM身份验证的Kerberos。我从来没有见过二级kerberos能力的图书馆或软件。 (真正的kerberos我的意思是)现在你可以使用.Net中的LDAP库以kerberos方式在服务器之间进行通信,但用户客户端和asp.net服务器之间的连接仍然是SSL纯文本/文本连接。
我还从来没有见过它做,但它应该是能够做到......如果asp.net服务器曾与苹果公司开放式目录服务器两者之间取得一个LDAP连接的信任关系,可能可以在IIS级别启用NTLM身份验证,并且(理论上)可以通过信任将Kerberos连接扩展到AOD。再一次,我从未想过它,所以我不知道尝试它会有什么陷阱。
我已经成功地使用的DirectoryServices连接通过LDAP协议的其他活动目录,但我还没有找到一种方法来嵌入客户端和认证服务器之间的连接的Kerberos没有NTLM。
要使用IIS中Kerberos身份验证,对受保护资源的认证类型应该是“Windows身份验证”。这将使IIS使用协商(spnego)身份验证。服务器必须是Kerberos可以使用的域的成员。如果可能的话,我建议使用Server 2008或Server 2008 R2计算机,因为它可以更加优雅地处理Kerberos身份验证。
我还没有得到机会与Mac服务器一会儿工作,但它是我的理解是开放式目录是能够服务于Windows域成员。对于授权,您必须从ASP查询LDAP目录或使用您自己的内部授权机制。
编辑:此Microsoft知识库文章可能对您有些用处:http://msdn.microsoft.com/en-us/library/aa480475.aspx