Используете аутентификацию тикета Kerberos на веб-сайте?

Мой офис использует локальный клиент Kerberos, в который мы заходим и создаем локальный тикет. Мне интересно, возможно ли переадресовать это на веб-сайт? Я думаю, что я неправильно понимаю, как некоторые из них сочетаются друг с другом.

Я читал, что в Chrome есть какая-то пересылка билетов Kerberos AuthNegotiateDelegateWhitelist: https://www.chromium.org/administrators/policy-list-3

но я не могу найти, как это работает. Местный билет передан по некоторому запросу?

Могу ли я что-то вроде Apache попросить пройти аутентификацию с билетом и предоставить ему сервер для аутентификации, и тогда мой код (через cookie или что-то в этом роде?) Будет иметь доступ к аутентифицированному билету и имени пользователя?

Спасибо

1 ответ

Флаг AuthNegotiateDelegateWhitelist в Chrome - это способ указать, каким веб-серверам должно быть разрешено делегировать билеты Kerberos. По умолчанию эта привилегия не предоставляется. Разрешение делегирования означает разрешение аутентификации Kerberos между веб-сервером и более глубокими уровнями (например, базой данных). В таком сценарии:

  1. Chrome использует Kerberos для входа в веб-сервер
  2. Веб-сервер использует Kerberos для входа в базу данных (возможно, только если вы разрешите веб-серверу использовать Kerberos здесь, т.е. только если вы перечислите этот веб-сервер в флаге AuthNegotiateDelegateWhitelist в Chrome)
Другие вопросы по тегам