active directory - ¿Por qué el Servidor necesita acceso a Kerberos?
active-directory spnego (1)
Resulta que hay un montón de respuestas a esta pregunta ... Ni siquiera intentaré cubrirlas todas aquí (en parte por razones de brevedad, en parte porque los detalles se han vuelto brumosos y no los recuerdo a todos :) ) Cubriré los dos grandes que me vienen a la mente, pero de nuevo, hay más.
En primer lugar, usted está hablando de viajes de ida y vuelta al Distrito de Columbia como si todo se tratara de Curb ya que el DC es el KDC. Supongo que es una forma de verlo, pero la pila de autenticación de Windows en general hace mucho más que solo validar los tickets de Curb. Por ejemplo, se requieren cosas como la resolución de SID para sacar cara o cruz de los tickets que entran cuando se toman decisiones de authz. Así que la comunicación vuelve al DC (que es un KDC y más) por muchas razones y usando muchos protocolos, algunos de los cuales son compatibles con la pila authz, que es lo que es típicamente interesante para la mayoría de la gente.
En segundo lugar, para Curb específicamente ... hay algunas características del protocolo donde volver al KDC tiene un valor de seguridad. La validación de PAC es lo primero que viene a la mente. Sugiero que lean sobre esto ... esta es una de las trillizas publicaciones que lo cubren: http://blogs.msdn.com/b/openspecification/archive/2009/04/24/understanding-microsoft-kerberos-pac -validation.aspx Me gustaría señalar que en este caso, hay cosas que puede hacer para deshabilitar realmente este flujo corriente abajo> KDC (como dar el TCB principal). Sin embargo, estas cosas no se deben hacer a la ligera ... es decir, es más que una "solución de rendimiento" para considerar. :)
Estoy tratando de averiguar cómo autenticar a los usuarios de Active Directory en un servidor remoto.
El objetivo es usar SPNEGO para recibir un boleto Kerberos. El boleto de Kerberos se puede descifrar y se puede establecer la identidad del usuario.
Lo que no entiendo es por qué se requiere acceso entre el servidor y Kerberos. Dado que el ticket de servicio contiene la identidad del cliente y está encriptado por la clave privada de TGS, el servidor no necesita acceso al Kerberos TGS. Solo puede descifrar el ticket y conocer la identidad del usuario. ¿Alguien puede explicarme por qué es necesario?
http://www.adopenstatic.com/cs/blogs/ken/archive/2007/01/16/1054.aspx
Cualquier esquema como Identity Providers o WIF no me parece necesario si todo lo que quiero es una identidad de cliente.