Dr.*_*ler 5 web-services reverse-proxy kerberos
我需要对反向代理和Kerberos协议的相互作用有一些高层次的了解.
假设我有一个Web服务和一个客户端,它们已经实现并正在运行.现在我们将Web服务放入反向代理后面的网络中.反向代理后面的网络中的内部身份验证基于Kerberos.
现在我想知道这个新的基础设施是否会在Web服务端和客户端进行一些必要的程序化更改?这取决于
在这种情况下,最先进的技术是什么?
提前致谢!
我想我找到了答案。约束委派是我期望存在的 Kerberos 协议的功能。
如果我们使用 SSL/TLS 进行基于相互证书的身份验证,则客户端将由代理进行身份验证,代理通过本地 CA(在隐藏的 Intranet 内)验证客户端的证书。之后,代理将代表已通过身份验证的客户端生成 Kerberos 票证。
在服务器端,票证验证应该在运行时级别进行(例如,通过 IIS)。
因此,如果客户端能够通过 SSL/TLS 使用服务,则 Kerberos 身份验证对于客户端和服务器来说保持完全透明。
| 归档时间: |
|
| 查看次数: |
2142 次 |
| 最近记录: |