Как пройти аутентификацию на сервере Kerberos (Apple Open Directory) в ASP.Net - PullRequest
Новая
       3

Как пройти аутентификацию на сервере Kerberos (Apple Open Directory) в ASP.Net

2 голосов
/ 20 января 2010

Здесь на работе мы только что внедрили сервер Apple Open Directory. Он хранит все имена пользователей и пароли и реализует LDAP и Kerberos. Мне было поручено настроить все наши веб-приложения ASP.Net для аутентификации с его помощью, чтобы пользователи могли использовать свои имена пользователей и пароли Open Directory для входа в наши приложения ASP.Net.

Мне нужно что-то вроде mod_auth_kerb, за исключением IIS и ASP.Net - и я бы хотел использовать аутентификацию на основе форм.

Возможно ли это?

Ответы [ 2 ]

0 голосов
/ 23 января 2010

Чтобы использовать проверку подлинности Kerberos в IIS, тип проверки подлинности для защищенного ресурса должен быть «Проверка подлинности Windows». Это заставит IIS использовать Negotiate (spnego) аутентификацию. Сервер должен быть членом домена, чтобы Kerberos работал. Я бы порекомендовал для этого использовать компьютер с Server 2008 или Server 2008 R2, если это возможно, поскольку он более элегантно обрабатывает аутентификацию Kerberos.

У меня не было возможности поработать с сервером Mac некоторое время, но я понимаю, что Open Directory может обслуживать члена домена Windows. Для авторизации вам потребуется запросить каталог LDAP из ASP или использовать собственный механизм внутренней авторизации.

Редактировать: Эта статья Microsoft KB может быть вам полезна: http://msdn.microsoft.com/en-us/library/aa480475.aspx

0 голосов
/ 20 января 2010

Насколько мне известно, IIS поддерживает только Kerberos для проверки подлинности NTLM. Я никогда не видел вторичную библиотеку или программное обеспечение, поддерживающее Kerberos. (Истинный Kerberos, я имею в виду). Теперь вы можете использовать библиотеки LDAP в .Net для связи между серверами в режиме Kerberos, но соединение между клиентом пользователя и сервером asp.net все равно будет обычным SSL-соединением.

Я также никогда не видел, чтобы это было сделано, но это должно быть в состоянии сделать ... если сервер asp.net имеет доверительные отношения с сервером Apple Open Directory с подключением LDAP между ними, это может было бы возможно включить проверку подлинности NTLM на уровне IIS, и это (теоретически) расширило бы возможность подключения Kerberos к AOD через доверие. Опять же, я никогда даже не обдумывал это, поэтому я не знаю, какие подводные камни могут быть при попытке сделать это.

Я успешно использовал службы каталогов для подключения к другим активным каталогам по протоколу LDAP, но я до сих пор не нашел способа встроить соединение Kerberos между клиентом и сервером аутентификации без NTLM.

...