客户端浏览器如何知道向哪个 KDC 发送请求以获取票证?

发布于 2024-09-07 19:57:56 字数 487 浏览 6 评论 0原文

环境:SharePoint 和 SharePoint Kerberos

有人可以解释一下客户端浏览器如何知道在步骤 3 中向哪个密钥分发中心 (KDC) 发送获取 Kerberos 票证的请求:

  1. 用户在 Internet Explorer 中输入 URL(例如 http://intranet.domain.local)
  2. 客户端浏览器构造服务主体名称 (SPN),其中包含主机名称和服务类型 ( SPN:http/intranet.domain.local – 服务类型:HTTP 名称:intranet.domain.local)
  3. 客户端向 KDC 发送请求以获取此 SPN 的票证

请注意,domain.local 是不是 KDC 服务器主机名。

提前致谢, 坦率

Environment: SharePoint & Kerberos

Can someone explain how does client browser know which Key Distribution Center (KDC) to send request to get a Kerberos ticket in step 3:

  1. The user types in a URL in the Internet Explorer (e. g. http://intranet.domain.local)
  2. The client browser constructs the Service Principal Name (SPN), which contains a name of the host and the service type (SPN: http/intranet.domain.local – Service type: HTTP Name: intranet.domain.local)
  3. The client sends a request to the KDC to get a ticket for this SPN

Note that domain.local is not KDC server host name.

Thanks in advance,
Frank

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

逆蝶 2024-09-14 19:57:56

该算法非常类似于这样:

  1. 首先,请求被发送到客户端正在通信的域控制器。
  2. 如果请求失败,客户端将查询 DNS 以获取包含 _kerberos._udp 的服务记录 (SRV)。 DnsDomainName。请参阅 http://technet.microsoft.com/en-us/library/cc961719 .aspx 了解更多详细信息。

如果您的 DNS 服务器集成到 Active Directory (AD) 中,您几乎可以免费获得它们。如果没有,您就必须自己设置它们。

The algorithm goes pretty much like this:

  1. Fist the request is sent to which domain controller you client is communicating
  2. If request fails the client queries DNS for a service record (SRV) containing _kerberos._udp. DnsDomainName. See http://technet.microsoft.com/en-us/library/cc961719.aspx for more details.

If your DNS server is integrated into the Active Directory (AD) you pretty much will get them for free. If not you would have to set them up yourself.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文