Un ticket Kerberos è valido solo con trust esterno unidirezionale tra domini?

Naviga le tue risposte
3

La situazione è che ho due domini (Dominio A e Dominio B) che vivono su reti separate. Devo consentire agli utenti di B di essere autenticati con l'autenticazione integrata di Windows (IWA) quando colpiscono un'applicazione web distribuita su un server IIS in A. Attualmente, IIS restituisce un 401 quando gli utenti di B tentano di colpire l'URL.

Possibile soluzione: Stabilire un trust tra A e B in modo che gli utenti in B possano essere autenticati contro A. B, tuttavia, è altamente sicuro e permetterà a A di stabilire un trust in uscita unidirezionale (A trust B). Quindi la domanda qui è:

Il TGT dell'utente da B è valido sul mio server IIS in A, o il server IIS deve ancora raggiungere l'ActiveDirectory / controller di dominio in B (presumibilmente un trust bidirezionale, presumibilmente)?

    
posta Sean 'Doc' Rinehart 28.06.2016 - 22:42
fonte

1 risposta

2

da quello che ho raccolto il server IIS fa parte del dominio A, se è così puoi aggiungere un modo trust tra A- > B , questo farà sì che tutti gli utenti globali / universali nel dominio B siano considerati affidabili dal dominio A, consentendo di concedere l'accesso (sul server IIS) al dominio Utenti B.

per SSO / IWA è necessario che il server IIS sia considerato come parte di area intranet da host in B, ciò richiederà di avere lo stesso suffisso DNS del dominio A sugli host nel dominio B, sulla stessa subnet o un'aggiunta manuale alla zona Intranet per quel sito specifico.

alcuni punti che devo chiarire per te che renderà questa risposta più sensata e fornirai alcune informazioni sui limiti di sicurezza in AD:

risposta data 30.04.2017 - 11:44
fonte

Leggi altre domande sui tag

Trovato un problema di sicurezza ma nessuna risposta L'autenticazione Auth0 Passwordless è sicura?