我们有一个IIS和一个SQL服务器的设置,并已经实现了Kerberos来直接使用SQL Sercurity。
我们有一个AD森林:Internal.local和设置在那里工作正常。
现在客户需要通过external.com进行外部访问,当然我们也不能使用当前的Kerberos设置。 在内部,我们可以访问internal.local – 获取kerberos票 – 访问external.com并继续使用该票。
但有没有一种解决scheme让Kerberos为external.com访问工作?
我想我们必须相信两个不知何故?
你可以在任何两个领域之间build立跨领域。 所有你需要做的就是在这两个领域安装共享密钥。
用AD做这件事有点棘手,因为AD一般设置为允许authentication和授权。 这是一个很好的关于问题的幻灯片
http://www.kerberos.org/events/2010conf/2010slides/2010kerberos_dmitry_pal.pdf
但是,跨领域通常比人们最初假设的要less得多。 跨域最基本的forms只允许你的领域[email protected]。 每个应用程序然后必须弄清楚什么[email protected]被允许做(授权)。 通常这意味着将远程Kerberos主体映射到某个本地帐户名,这对您的应用程序是有意义的。