Come dice il titolo della domanda: Kerberos supporta gli attributi specifici del venditore che consentono la segmentazione dell'accesso all'interno di un determinato dispositivo client?
Come dice il titolo della domanda: Kerberos supporta gli attributi specifici del venditore che consentono la segmentazione dell'accesso all'interno di un determinato dispositivo client?
Microsoft non ha SDK / API per cambiare il protocollo Kerberos, e non sarebbe un piccolo sforzo reimplementare kerberos su entrambi i lati (client e server) come pacchetto di autenticazione.
Penso che manchi un punto chiave con il tuo caso d'uso, kerberos è un protocollo di autenticazione, in quanto tale dovrebbe solo occuparsi di controllare che tu sia chi dici di essere, la posizione di rete non è t parte di quello. quello che ti serve è l'autorizzazione, questo è astratto dal kerberos come misura di sicurezza ed è una cattiva idea cambiarlo.
ciò che puoi fare è cambiare la parte di autorizzazione - sul controller di dominio puoi decidere a quale utente è permesso accedere a quale computer (o unità organizzativa di dispositivi) usando criterio di gruppo . se questo è per la tua specifica applicazione, puoi sempre implementarlo a quel livello.
un altro modo è creare un sito per sottorete e consentire l'accesso a ciascun utente per sito. guarda qui .
Leggi altre domande sui tag kerberos