如何从我自己的应用程序与 kerberos 服务器交互

Question

我的网络有一个用于用户名/密码身份验证的 kerberos 服务器。 运行我的应用程序的计算机具有正常运行的 kerberos 客户端，因此用户可以使用 kinit 等。

如何从我自己的自定义应用程序以编程方式与服务器交互？ 示例的首选语言是 C。

我希望应用程序的用户在访问某些功能之前先针对 kerberos 服务器进行身份验证。 我预计必须向他们询问用户名和密码 - kinit 可能尚未被调用。

托管应用程序的计算机运行 OS X 和 Debian/Linux。

我相信答案很可能涉及 GSSAPI。 如果是这样，有很好的教程吗？

Answer 1

Sun 在他们的书中介绍了这一点Solaris 开发人员安全指南。 对您特别有帮助的可能是 附录 A -基于 C 的 GSSAPI 程序示例和章节5 - GSS-API 客户端示例。

Answer 2

看看 Heimdal，他们有一个广泛的 kerberos API，下面的站点有一个很棒的 doxygen 安装，描述了该 API。

http://www.h5l.org

Answer 3

GSSAPI 确实是推荐的方法，但具体细节取决于您的语言环境以及是否需要与 Windows 进行互操作。 您的 kerberos 提供商是 Windows 还是其他？

在 Windows 上，Kerberos 是操作系统支持的本机协议，许多高级 Win32 API 将有效地免费为您提供它。 使其与非 Windows kerberos 服务器互操作是可能的，但并非易事。

在 UNIX 上，您可能首先需要安装 kerberos 客户端支持并使其正常工作 - 但如果您的网络已经有 kerberos 服务器，那么这可能已经为您完成了。

Windows 与 Java 一样包含 GSSAPI 的实现，并且大多数 UNIX 风格都有一个实现。 我相信 GSSAPI 插件也适用于 PHP。

如果您可以根据您的要求添加更多细节，我可以稍微确定一下这个答案。