本文详细介绍了在.NET环境中,如何利用Kerberos进行网络身份验证,重点讨论了SPN(Service Principal Name)的注册和使用。内容包括SPN的含义、如何为服务注册SPN、.NET中HTTP请求与SPN的关系,以及当服务变更或跨域时SPN的处理策略。通过案例分析,阐述了如果未正确设置SPN可能导致的身份验证失败问题,并提供了手动绑定SPN的方法来解决此类问题。
在利用Kerberos进行网络身份验证之前,用户需要为运行服务的账号以及服务注册SPN(Service Principal Name),之后在Kerberos进行身份验证时,即可利用SPN将二者相关联。SPN是使用 Kerberos 身份验证的网络上的唯一标识符,因此一个SPN只能属于一个账号。
假设账号accoutA运行了一个利用Kerberos进行身份验证的网络服务http://myservice.com:12345/health,并且我们为其注册了一个SPN名为HTTP/myservice.com,那么我们就会得到一个从accountA到HTTP/myservice.com的关联关系。当用户利用.NET向http://myservice.com:12345/health发送Http请求时,.NET会首先向Kerberos认证服务器发送相应的SPN以请求所需的token,而SPN是通过解析欲访问的URI得来的,.NET在这个过程中会忽略掉自定义的端口号,既非预留的,诸如80、443等的端口号,因此本例中的URI对应的SPN为HTTP/myservice.com。若认证服务器找到了所请求的SPN,则返回相应的token,之后会继续进行Kerberos的后续验证;若认证服务器未能找到所请问的SPN,则验证过程会自动降级为NTLM。
接上文的假设,假设账号accountB运行了一个利用Kerberos进行身份验证的网络服务http://myservice.com:12346/health。当用户利用.NET向http://myservice.com:12346/health发送Http请求时,.NET依然会利用HTTP/myservice.com向Kerberos认证服务器请求token,经查找后,认证服务器会返回一个与accountA相关联的token,因为HTTP/myservice.com是与accountA相关联的。之后当前的Http
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
