Друг сказал мне, что он использует обычную аутентификацию IIS для аутентификации своего веб-приложения. Эта система тоже использует Kerberos, но как могут работать вместе Basic Authentication и Kerberos ?! Я знаю, что базовая аутентификация отправляет пароль в Base64 (например, открытый текст), а Kerberos не отправляет пароль по сети, он использует систему тикетов. Итак, как можно интегрировать Kerberos с обычной проверкой подлинности?
Я думаю, что приложение должно запрашивать у пользователя имя пользователя и пароль, а затем использовать это для аутентификации в какой-либо внутренней системе Kerberos. На этом этапе веб-приложение может выдавать себя за пользователя и при необходимости подключаться к другим ресурсам. У Microsoft есть краткое описание этого метода. Вот.
Я не думаю, что в целом это отличная идея, поскольку теперь пользователь должен доверять веб-серверу, чтобы он не прятал свой пароль и / или не выдавал себя за него нежелательными способами. Используя чистую настройку Kerberos, пользователь может быть уверен, что веб-сервер является тем, за кого он себя выдал, и ограничить делегирование, не раскрывая никому свой пароль. Однако брандмауэры, Интернет и различные другие факторы часто делают привлекательным или необходимым использование базовой проверки подлинности вместо чистого Kerberos.
Большинство веб-приложений используют базовую проверку подлинности, также известную как проверка подлинности на основе форм, обычно с использованием SSL для защиты учетных данных. Единственный раз, когда вы будете использовать встроенную проверку подлинности, - это сайт в интрасети (SharePoint - хорошо известный пример того, что может использовать встроенную проверку подлинности). Встроенная аутентификация звучит фантастически, но может быть сложно наладить правильную работу и обеспечить ее надежную работу. Проверка подлинности на основе форм обычно более надежна.
Веб-сервер принимает учетные данные, предоставленные пользователем, и аутентифицируется в Active Directory от их имени, используя ... Kerberos. Если веб-приложению необходимо олицетворять пользователя и получать доступ к ресурсам, внешним по отношению к серверу IIS (распространенный сценарий), требуется проверка подлинности Kerberos. (То есть аутентификация NTLM не будет работать в этом сценарии олицетворения).