带有Kerberos和没有Kerberos的Active Directory的差异？

Question

我有一个web应用程序(ASP.NET/C#)，我们客户的员工使用它，我们支持的认证方法之一是通过LDAP的外部Active。

我最近接到了一个请求，要求用AD支持Kerberos。

从发展的角度来看，这意味着什么？我知道Unix世界中Kerberos的基本知识，但不确定它如何与AD/LDAP相适应。

目前，我使用标准LDAP与一个服务帐户绑定以找到用户，然后使用他们提供的凭据作为该用户绑定以验证登录。

支持Kerberos需要什么不同的方式？我的Google-fu让我失望了。

为了说明这一点，应用程序服务器与AD服务器不在同一域中。

编辑：

甚至可以在internet连接上进行Kerberos身份验证吗？

Answer 1

格雷格，这是你需要看的..。如果您需要任何代码样本的帮助，请告诉我..我目前在Active Directory集团工作，在C# for AD and LDAP中有8+多年的编码经验。

you should still be able to validate user credentials if they sit on 2 different domains you want to look at the following PrincipalContext, 'UserPrincipal', 'GroupPrincipal if necessary', and ValidateCredentials which is probably the one you want the most

Answer 2

Kerberos在Windows中的标准使用时间已经超过13年(自Windows 2000以来)。只需在IIS中启用SPNEGO/Kerberos的Windows即可。如果您有胖客户机，则可以使用SSPI获取安全上下文，并从其中读取当前登录的Kerberos UPN。我已经就这个问题回答过好几次了。请搜一下。