Active Directory 到 Windows XP 客户端的“工作站信任”和登录过程不仅仅是基于标准的 Kerberos。Windows XP 可以向 Kerberos 领域进行身份验证,但 Kerberos 凭据必须“映射”到本地用户帐户。这与加入域的 Windows XP 计算机的功能不同,因为加入域时不需要本地用户帐户。如果您打算获得类似域的功能,则需要创建与每组 Kerberos 凭据相对应的本地用户帐户。
Windows 默认的“图形识别和身份验证”(GINA) 模块有一些替代品,可以伪造类似域的行为。执行此功能的“正确方法”是为基于标准的 Kerberos 编写 LSA 安全支持提供程序 (SSP)(我不相信 Microsoft 以外的任何人都这样做过)。
如果您想通过基于标准的 Kerberos KDC 的 Windows XP 客户端获得类似于 Active Directory 域的“单点登录”功能,您将不得不做一些黑客攻击。
这是针对 Kerberos 领域配置身份验证的 Windows 2000 时代指南:http ://technet.microsoft.com/en-us/library/bb742433.aspx
Active Directory 到 Windows XP 客户端的“工作站信任”和登录过程不仅仅是基于标准的 Kerberos。Windows XP 可以向 Kerberos 领域进行身份验证,但 Kerberos 凭据必须“映射”到本地用户帐户。这与加入域的 Windows XP 计算机的功能不同,因为加入域时不需要本地用户帐户。如果您打算获得类似域的功能,则需要创建与每组 Kerberos 凭据相对应的本地用户帐户。
Windows 默认的“图形识别和身份验证”(GINA) 模块有一些替代品,可以伪造类似域的行为。执行此功能的“正确方法”是为基于标准的 Kerberos 编写 LSA 安全支持提供程序 (SSP)(我不相信 Microsoft 以外的任何人都这样做过)。
REGINA - Reed 学院的一个项目,用于进行基于 Kerberos 的单点登录 GINA。- http://people.reed.edu/~nobles/reed/regina.html
CMU “Kerberized” NT 登录 - http://asg.andrew.cmu.edu/andrew2/dist/gina.html (看起来源不再可用!)
有pGina 项目,但这开始遭受代码腐烂的困扰。虽然它很稳定,但我只会将其用作最后的手段。除了提供 Kerberos 支持外,它还有一个模块化框架,可以与您能想到的任何东西进行交互——有数据库、RADIUS 等示例。将其视为“pam”的开源等价物Windows 的堆栈。
源代码仍然可用,至少核心代码已经远远超过 1.0 标记并且具有生产价值。真正的问题是围绕一些模块的代码质量,有些是稳定的,但有些仅比概念证明好。