你如何获得Windows XP作为一个客户端来authenticationkerberos或heimdal(操作系统是Ubuntu,FreeBSD或OpenBSD)
如果您希望获得与使用基于标准的Kerberos KDC的Windows XP客户端的Active Directory域类似的“单点login”function,则必须进行一些黑客行为。
以下是Windows 2000时代指南,用于configurationKerberos领域的身份validation: http : //technet.microsoft.com/en-us/library/bb742433.aspx
Active Directory到Windows XP客户端“工作站信任”和login过程不仅仅是基于标准的Kerberos。 Windows XP可以对Kerberos领域进行身份validation,但Kerberos凭据必须“映射”到本地用户帐户。 这与join域的Windows XP计算机function不同,因为在join域时不需要本地用户帐户。 如果您打算获得类似于域的function,则需要创build与每组Kerberos凭据相对应的本地用户帐户。
Windows默认的“graphics标识和身份validation”(GINA)模块可以替代模拟域类行为。 执行此function的“正确方法”是为基于标准的Kerberos编写LSA安全支持提供程序(SSP)(我不相信Microsoft以外的任何人已经完成)。
REGINA – 里德学院的一个项目,用于单点login的基于Kerberos的GINA。 – http://people.reed.edu/~nobles/reed/regina.html
CMU“Kerberized”NTlogin – http://asg.andrew.cmu.edu/andrew2/dist/gina.html (看起来来源不再可用!)
有pGina项目 ,但是这开始遭受代码腐烂。 虽然它是稳定的,我只会用它作为最后的手段。 除了提供Kerberos支持之外,它还具有一个模块化框架,可以与任何你能想到的任何东西进行交互 – 有数据库,RADIUS等的例子。把它看作是一个开放源代码的“pam” Windows的堆栈。
源代码仍然可用,至less,核心代码已经超过了1.0的标记,是值得的。 真正的问题是围绕着一些模块的代码的质量,有些是稳定的,但有些仅比概念validation好。