是否可以設置跨領域 Kerberos

我們有一個帶有 IIS 和 SQL 伺服器的設置，並且已經實現了 Kerberos 以直接使用 SQL Sercurity。

我們有一個 AD 森林：Internal.local，並且設置在那裡執行良好。

現在客戶希望通過 external.com 進行外部訪問，當然我們不能使用目前的 kerberos 設置。在內部，我們可以訪問 internal.local - 獲取 kerberos 票證 - 訪問 external.com 並繼續使用該票證。

但是有沒有辦法讓 kerberos 為 external.com 訪問工作？

我想我們必須以某種方式信任這兩個？

您可以在任意兩個領域之間設置跨領域。您需要做的就是在兩個領域中安裝共享密鑰。

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/sec-kerberos-crossrealm.html

使用 AD 執行此操作有點棘手，因為 AD 通常設置為允許身份驗證和授權。這是一個關於所涉及問題的很好的幻燈片

http://www.kerberos.org/events/2010conf/2010slides/2010kerberos_dmitry_pal.pdf

然而，跨領域通常比人們最初想像的要少得多。最基本形式的跨領域僅允許您的領域對 user@REMOTE.COM 進行身份驗證。然後每個應用程序必須弄清楚 user@REMOTE.COM 被允許做什麼（授權）。通常，這意味著將遠端 kerberos 主體映射到對您的應用程序有意義的某個本地帳戶名稱。

引用自：https://serverfault.com/questions/569349