Kerberos supporta gli attributi specifici del fornitore?

2

Come dice il titolo della domanda: Kerberos supporta gli attributi specifici del venditore che consentono la segmentazione dell'accesso all'interno di un determinato dispositivo client?

    
posta Jaris Detroye 16.02.2017 - 16:43
fonte

1 risposta

1

Microsoft non ha SDK / API per cambiare il protocollo Kerberos, e non sarebbe un piccolo sforzo reimplementare kerberos su entrambi i lati (client e server) come pacchetto di autenticazione.

Penso che manchi un punto chiave con il tuo caso d'uso, kerberos è un protocollo di autenticazione, in quanto tale dovrebbe solo occuparsi di controllare che tu sia chi dici di essere, la posizione di rete non è t parte di quello. quello che ti serve è l'autorizzazione, questo è astratto dal kerberos come misura di sicurezza ed è una cattiva idea cambiarlo.

ciò che puoi fare è cambiare la parte di autorizzazione - sul controller di dominio puoi decidere a quale utente è permesso accedere a quale computer (o unità organizzativa di dispositivi) usando criterio di gruppo . se questo è per la tua specifica applicazione, puoi sempre implementarlo a quel livello.

un altro modo è creare un sito per sottorete e consentire l'accesso a ciascun utente per sito. guarda qui .

    
risposta data 24.04.2017 - 11:03
fonte

Leggi altre domande sui tag