Как получить Windows XP в качестве клиента для аутентификации по Kerberos или Heimdal (где ОС - Ubuntu, FreeBSD или OpenBSD)
Если вы хотите получить функциональность «единого входа», аналогичную домену Active Directory с клиентами Windows XP стандартного Kerberos KDC, вам придется немного взломать.
Вот руководство эпохи Windows 2000 по настройке аутентификации в области Kerberos: http://technet.microsoft.com/en-us/library/bb742433.aspx
Клиент Active Directory для Windows XP «доверие рабочей станции» и процесс входа в систему - это больше, чем просто основанный на стандартах Kerberos. Windows XP может аутентифицироваться в области Kerberos, но учетные данные Kerberos должны быть «сопоставлены» с учетной записью локального пользователя. Это не то же самое, что машина с Windows XP, присоединенная к домену, поскольку при присоединении к домену не требуются локальные учетные записи пользователей. Вам нужно будет создать локальные учетные записи пользователей, соответствующие каждому набору учетных данных Kerberos, если вы намереваетесь получить функциональность, подобную доменной.
Существуют замены модуля Windows по умолчанию «Графическая идентификация и аутентификация» (GINA), которые могут имитировать поведение, подобное домену. «Правильный способ» выполнить эту функцию - написать поставщика поддержки безопасности LSA (SSP) для основанного на стандартах Kerberos (что, я не думаю, сделал кто-либо, кроме Microsoft).
REGINA - проект в Reed College по созданию GINA на базе Kerberos с единым входом. - http://people.reed.edu/~nobles/reed/regina.html
CMU "Kerberized" NT Login - http://asg.andrew.cmu.edu/andrew2/dist/gina.html (Похоже, исходный код больше не доступен!)
Был проект pGina, но это начинает страдать от гниения кода. Хотя он стабилен, я бы использовал его только в крайнем случае. Помимо поддержки Kerberos, он также имеет модульную структуру, которая позволит взаимодействовать практически со всем, что вы можете придумать - есть примеры для баз данных, RADIUS и т. Д. Думайте об этом как о эквиваленте «pam» с открытым исходным кодом. стек для Windows.
Исходный код все еще доступен, и, по крайней мере, основной код значительно превышает отметку 1.0 и пригоден для производства. Реальная проблема заключается в качестве кода, окружающего некоторые модули, некоторые из них стабильны, но некоторые едва ли лучше, чем доказательство концепции.