我们能否使企业AD对本地kerberos机制的存在透明？

Question

我们已经有了企业AD中的用户，我们希望从本地kerberos服务器为这些用户生成kerberos票证，而不是从AD本身的kerberos服务中生成kerberos票证。

我们的目的是使企业AD对kerberos机制的存在具有透明性。

我们正在考虑的方法是--

假设我们有三个盒子：

1. 企业AD
2. 嵌入kerberos的本地AD
3. 基于角色的访问控制盒

我们正在思考的流程--

1. RBAC框将接收用户进行身份验证和授权的请求。
2. RBAC盒没有将请求转发给企业AD，而是使用嵌入式kerberos将请求转发给本地AD。
3. 现在，带有嵌入式kerberos的本地AD查询企业AD的用户身份验证。
4. 在身份验证成功后，带有kerberos的本地AD生成票证并将响应发送回RBAC框，RBAC框允许/拒绝向用户提供服务。

我们不知道是否可以这样做，如果可能的话，请指导我们或建议实现同样的方法。

谢谢

Answer 1

如果将企业AD和本地广告组织为forrest，则可以使用“跨域身份验证”：https://technet.microsoft.com/en-us/library/cc773178%28v=ws.10%29.aspx实现此场景。