Kerberos面试内容整理-在 Linux/Windows 中的 Kerberos 实践
Windows 实践: 在Windows环境中,Kerberos 几乎是无形融合的。用户使用域账号登录计算机时,实际上就完成了Kerberos的AS认证并获取TGT;此后的资源访问(如共享文件夹、打印机、数据库等)都会自动使用Kerberos进行验证,而无需用户干预。Windows通过LSASS进程维护和缓存用户的Kerberos凭证,可使用命令行klist查看当前登录用户持有的TGT及服务票据。在开发和部署方面,Windows的众多服务(IIS、SQL Server等)默认支持Kerberos。如需让Web站点使用Kerberos SSO,管理员要确保为该站点配置了正确的SPN,并在Active Directory中将该SPN关联到运行网站的账号上。Windows提供了SSPI接口,应用程序无需直接实现Kerberos协议即可调用操作系统完成身份验证。例如,IIS通过Windows身份验证模式即可调用Kerberos验证用户域身份。常见实践还有使用命令runas /netonl