デスクトップLDAPを使用したWeb認証

Question

問題：ローカルのLDAP資格情報を使用して、私の企業クライアントのユーザーが自分のWebサーバーで認証を受けられるようにします。ユーザーには、ローカルのLDAPサーバーで認証できるローカルデスクトップクライアントがあります。私のサーバーとLDAPサーバーは互いに話しません。

WebサーバーがLDAP要求をLDAPサーバーに中継する場合、LDAPを使用してWebサーバーで認証することは可能です。 （ユーザー/デスクトップクライアントはWebサーバーに接続し、資格情報を送信し、WebサーバーはLDAPサーバーと対話して認証します）

しかし、デスクトップクライアントがローカルLDAPサーバーで認証してから、 Webサーバーへのアクセスを許可するトークン？ （ldapのユーザー認証、ウェブサーバーへのldapレスポンスを送信）

私はOauthとは話していません。この場合、LDAPサーバーは外部から隔離されています。

ここで大きな問題は、自分で書いたとしても、クライアントを信頼してはいけないということです。パブリック/プライベート認証のようなもの（おそらく）は、問題は暗号化ではなく、メッセージがLDAPサーバーから「OK」となっていることを確認するので、うまくいきません。不正なクライアントがOKを偽って、とにかく署名する可能性があります。

Answer 1

問題を正しく理解している場合は、デスクトップクライアントがユーザーのドメイン資格情報を使用してWebアプリケーションと対話する方法を探しています。

これは、ADFSのようなものを使用して簡単に行うことができます。クライアントのActive Directoryドメイン内でADFSを実行すると、デスクトップクライアントはKerberosを使用してADFSからトークンを取得できます。このトークンを使用して、Webアプリケーションで認証することができます。

クライアントドメインのADFSインスタンスによって発行されたトークンを信頼するようにWebアプリケーションを構成する必要があります。

Answer 2

ADFSが機能する場合がありますが、不要です。 SPNEGOは、ADFSインフラストラクチャを必要としないため、使用する必要があります。