お客様が当社のソフトウェアをインストールすると、サービスは1つのボックスで実行され、データベースは別のボックスにある「分割インストール」を選択することがよくあります。サービスが他のサービスと通信したり、データベースに別のデータベースと通信する必要があるストアドプロシージャが含まれている場合があります。匿名、認証、偽装、および代理人の違いは何ですか?代理人にはなぜKerberosが必要ですか?
これは、KerberosとSetSPNの暗い世界につながります。
私はサポート担当者にWindowsでサポートされているさまざまな認証レベルの違いを細分化した電子メールを送信しようとしていましたが、私の知識は偽装者と代理人の違いについて曖昧になりました。ケルベロスの場合はスケッチである。
誰でも私を啓発できますか?
Authenticate(authn)は、ユーザーを識別することを意味します。 Authorize(authz)とは、認証されたユーザーがどのような権限を持っているかを判断することを意味します。匿名ユーザーは認証されていませんが、システム(「ゲスト」)にいくつかの権利が与えられている可能性があります。偽装と委任は同じコインの2つの側面です。あなたのアイデンティティを使って行動を起こすと、私はあなたを偽装します。あなたは私にあなたを偽装して何らかの行動を取る権利を委譲します。
Kerberos(または "Curb")は、トークンベースの認証方式です。つまり、システムにログインし、適切に識別(authn)し、権限(authz)を与えられるようにする方法です。
コメントごとに:委任のための抑制は必要ありませんが、Server 2003に組み込まれています。また、NTLM、SSL証明書マッピングまたはダイジェスト認証を使用することもできます。しかし、それらのどれも頑丈で柔軟なものはありません。また、特定のサービスに対してのみ委任を許可する制約付きの委任を行うこともできます。その理由は、トークンを検証するために信頼できる第三者が必要なためです。基本的には、このように流れます...
あなたが知っている深い主題です。 :)上記のオプションのいくつかにはgood articleがあります。また、web castをチェックしてください - それはADFSについてですが、役立つ概念については良い仕事をしています。
Ken Schaefer'sウェブサイトのKerberosをブラッシュアップするとよいでしょう。彼のKerberos FAQ岩。
上記の回答に加えて、委任では、クライアントの元の認証を使用して別のサーバーに対して1台のサーバーが認証されています。 Kereberosを使用すると、これは比較的簡単に達成できます。最初のサーバーがクライアントの認証トークンを「再発行」できるようにするだけです。代替(NTLM)は、チャレンジ/レスポンス認証以来簡単に/安全に委任を許可しません。チャレンジ/レスポンスに応答できるのは、サーバがセカンダリサーバに対して認証する唯一の方法です。クライアントのパスワードが必要です。
興味があるかもしれないServerFault answer regarding Kerberos Delegationがあります。
悪くはないが、もう少し詳細にしたかった... –
...特に委任をしたいのであれば、どうして私はケルベロスが必要なのだろうか?それとも私はいないの? –