当前位置: 首页 > 知识库问答 >
问题:

在网页上使用Kerberos进行SSO

裘嘉木
2023-03-14

我不太擅长使用Kerberos。但是我想用Kerberos实现单点登录。

我想实现的目标是,您只需使用Windows 7登录,然后打开浏览器,并且不需要其他身份验证,例如Intranet。这可能吗?

Kerberos使用票证。第一步是获取票证授予票证,不是吗?Windows Server正在使用Kerberos进行身份验证。那么在Windows中登录后是否有票证授予票证?我可以使用它(如果有的话)为其他服务获取服务票证吗?

另一个关于apache的问题是:当我在linux服务器上使用Kerberos时,我需要一个名为mod\u auth\u kerb的mod,不是吗?如果这安装在我的linux服务器上,我可以使用Kerberos身份验证吗?如果linux服务器上有intranet,如何使用kerberos进行身份验证。我应该在PHP代码中进行身份验证,还是可以通过某种方式“学习”apache进行身份验证?

非常感谢您的帮助:)

你好,Wuz

共有1个答案

魏翰
2023-03-14

是的,这一切都是可能的,并且一直在做。当您登录域帐户时,Windows使用您的密码从域控制器获取Kerberos凭据(票证授予票证或TGT),这反过来又允许您在不重新输入密码的情况下获取其他服务的票证。您可以使用klist.exe.Web浏览器查看TGT和您拥有的特定服务的任何其他票证使用HTTP协商交换向Web服务器发送票证,服务器可以使用该票证来识别您(可选的返回令牌也可以向客户端验证服务器)。服务器必须是同一Kerberos领域的成员,或者是对您的领域信任链的成员。

mod\u auth\u kerb是Apache中用于Kerberos身份验证的最常见模块。您可以使用setspn将web服务器的Kerberos主体添加到AD帐户。exe,格式为HTTP/服务器主机名。然后使用ktpass创建一个保存主体密钥的文件,称为“keytab”。Windows上的exe或Unix上的ktutil之类的程序(需要AD帐户的密码)。mod\U auth\U kerb配置指的是键选项卡。mod\u auth\u kerb将环境变量REMOTE\u USER设置为客户端的标识,您只需在应用程序中读取即可(本例中为PHP代码)。

必须将web浏览器配置为实际使用HTTP协商身份验证,每个浏览器的详细信息各不相同。

这只是以高层次的方式回答你眼前的问题;当然,还涉及很多其他细节,因为您要处理一个完整的基础架构和几个需要协调的部分:Kerberos、DNS名称、主体名称、浏览器配置、Apache等。

顺便说一下:英语中的单词是“authenticate”,而不是“authenticificate”

 类似资料:
  • 我想从这个网页下载数据 因此,如果我使用代码,我可以刮50个国家的数据。 按钮是在中创建的,所以我想知道在中是否有方法单击该按钮然后刮取数据。

  • 问题内容: 我想从网站上获取每天的日出/日落时间。是否可以使用Python抓取网络内容?使用什么模块?有没有可用的教程? 问题答案: 结合使用urllib2和出色的BeautifulSoup库:

  • 最近我一直在用Python和靓汤学习网页刮刮乐。然而,当我试图刮下下面的页面时,我遇到了一点麻烦: http://www.librarything.com/work/3203347 我想从页面上得到的数据是这本书的标签,但我找不到任何方法来获取数据,尽管我花了很多时间在网上拖网。 我试着在网上看了几本指南,但似乎没有一本奏效。我尝试将页面转换为XML和JSON,但仍然找不到数据。 我现在有点手足无

  • 我们有一个内部开发的基于客户机/服务器的应用程序。客户端和服务器通过TCP/IP连接与特定于应用程序的协议进行通信。客户端在Windows上运行,服务器在Linux上运行。所有计算机都位于相同的Active Directory/Kerberos域/领域中。 目前,用户在启动应用程序时输入用户名和密码。服务器检查用户名和密码(身份验证)。服务器还根据用户名确定对资源的访问(授权)。 我们希望向应用程

  • 有人知道我如何让一个Java程序在网页上运行吗?我知道现在很多浏览器不支持Java的安全风险,但说我使用的是老版本的Java,如Java 6。 我必须做什么才能使它在网页上运行?当然,当用户点击按钮时,说“允许”或“运行程序”是正确的。我不能为此使用Javascript。 谢谢

  • 本文向大家介绍如何在Docker上使用OVS Bridge进行联网?,包括了如何在Docker上使用OVS Bridge进行联网?的使用技巧和注意事项,需要的朋友参考一下 OVS桥接器或Open vSwitch桥接器被用作Linux中本机桥接器的替代。它支持物理交换机中的大多数功能,同时还支持单个网桥上的多个vLAN。它也被广泛用于Docker网络中,因为与本地网桥相比,它被证明对多主机网络很有用