在這裏工作,以驗證進入Kerberos(蘋果開放目錄)的服務器,我們只是實現了蘋果開放式目錄服務器。它存儲每個人的用戶名和密碼,並實現LDAP和Kerberos。我的任務是配置所有的ASP.Net Web應用程序以進行身份驗證 - 因此用戶可以使用他們的Open Directory用戶名和密碼登錄到我們的ASP.Net應用程序。如何在ASP.Net
我需要這樣的東西mod_auth_kerb所,除了IIS和ASP.Net - 我想使用基於表單的身份驗證。
這可能嗎?
僅作爲IIS據我所知支持NTLM身份驗證的Kerberos。我從來沒有見過二級kerberos能力的圖書館或軟件。 (真正的kerberos我的意思是)現在你可以使用.Net中的LDAP庫以kerberos方式在服務器之間進行通信,但用戶客戶端和asp.net服務器之間的連接仍然是SSL純文本/文本連接。
我還從來沒有見過它做,但它應該是能夠做到......如果asp.net服務器曾與蘋果公司開放式目錄服務器兩者之間取得一個LDAP連接的信任關係,可能可以在IIS級別啓用NTLM身份驗證,並且(理論上)可以通過信任將Kerberos連接擴展到AOD。再一次,我從未想過它,所以我不知道嘗試它會有什麼陷阱。
我已經成功地使用的DirectoryServices連接通過LDAP協議的其他活動目錄,但我還沒有找到一種方法來嵌入客戶端和認證服務器之間的連接的Kerberos沒有NTLM。
要使用IIS中Kerberos身份驗證,對受保護資源的認證類型應該是「Windows身份驗證」。這將使IIS使用協商(spnego)身份驗證。服務器必須是Kerberos可以使用的域的成員。如果可能的話,我建議使用Server 2008或Server 2008 R2計算機,因爲它可以更加優雅地處理Kerberos身份驗證。
我還沒有得到機會與Mac服務器一會兒工作,但它是我的理解是開放式目錄是能夠服務於Windows域成員。對於授權,您必須從ASP查詢LDAP目錄或使用您自己的內部授權機制。
編輯:此Microsoft知識庫文章可能對您有些用處:http://msdn.microsoft.com/en-us/library/aa480475.aspx