我试图弄清楚自己,但无济于事。 谷歌提供了许多教程,但我无法find任何下面的情况。
我们有一个外部合作员工,可以通过VPN访问我们的局域网,他需要访问我们的一些Web应用程序。 他的工作站在Windows 7 Professional下运行。 Web应用程序只能接受基于Kerberos的SSO身份validation – 由于安全策略,密码身份validation被禁用,并且无法更改。 Kerberos AS / KDC由Windows Server 2008 R2级别域提供,其工作站不是其成员。
我们如何从他的工作站上configurationKerberos身份validation而不将其添加到域中 ? 到目前为止,我只用于使用Kerberosconfiguration基于UNIX的系统。 在Windows下我可以想到两个不同的解决scheme:
安装外部Kerberos库(例如Windows的MIT Kerberos ) – 我假定configuration过程类似于基于UNIX的(即编辑krb5.conf ,设置默认领域并启用基于DNS的KDC定位)。
configurationWindows内置的Kerberos客户端,无需将工作站添加到域 – 我不知道这甚至是可能的。
我们需要让SSO在Mozilla Firefox中工作。 假设我们使用第一个解决scheme,我假设我们应该将network.negotiate-auth.gsslib设置为外部的Kerberos DLLpath。 这个设置可以按预期工作吗? 从上述选项中,后者是非常受欢迎的,因为我们希望避免外部依赖和可能的不兼容。