É possível configurar o reino cruzado Kerberos

1

Temos uma configuração com um servidor IIS e SQL e implementamos o Kerberos para usar o SQL Sercurity diretamente.

Temos uma floresta do AD: Internal.local e a configuração funciona bem lá.

Agora, o cliente deseja acesso externo por meio do external.com e, é claro, não podemos usar a configuração atual do kerberos. Internamente, podemos acessar internal.local - obter um ticket do kerberos - acessar o external.com e continuar usando esse ticket.

Mas existe uma solução para fazer com que o kerberos funcione para o acesso external.com?

Eu acho que temos que confiar nos dois de alguma forma ??

    
por Burrhus 23.01.2014 / 12:29

1 resposta

0

Você pode configurar o reino cruzado entre quaisquer dois reinos. Tudo o que você precisa fazer é instalar as chaves compartilhadas em ambas as regiões.

link

Fazer isso com o AD é um pouco mais complicado, pois o AD geralmente é configurado para permitir autenticação e autorização. Este é um bom deck de slides sobre os problemas envolvidos

link

No entanto, o reino cruzado geralmente faz muito menos do que as pessoas inicialmente supõem. O reino cruzado em sua forma mais básica só permite que seu reino autentique [email protected]. Cada aplicativo precisa descobrir o que o usuá[email protected] tem permissão para fazer (autorização). Geralmente, isso significa mapear o principal do kerberos remoto para algum nome de conta local que faça sentido para seu aplicativo.

    
por 27.01.2014 / 17:36

Tags