-----Ursprüngliche Nachricht----- Von: Robert Zimmermann <[email protected]> > Zum Thema Kerberos: Cross-Realm-Kerberos (sprich: Domänen-übergreifend) > funktioniert mit Windoof-Clients nur wenn die Domäne, an der der Benutzer am > Windoof-Client angemeldet ist (in welcher Domäne der Maschinen-Account steckt > ist irrelevant) den gleichen GC hat als die Domäne in die er authentifizieren > will. Das schließt einen External Trust kategorisch aus. Hintergrund: Windoof- > Clients fragen ausschließlich ihren eigenen GC nach dem SPN (Service > Principal > Name). Kennt der eigene GC den SPN aus der fremden Domäne nicht dann geht > auch > nix. > Unixoide Clients sind hier besser dran: Wenn Windows-Domäne deckungsgleich > mit > jeweils einer DNS-Domain, dann kann man über "Domain Realms" (/etc/krb5.conf > o.vgl.) dem Client beibringen, daß er bei Services der DNS-Domain A die > Windows-Domäne A und bei DNS-Domain B die WIndows-Domäne B befragt. > > Hintergrundinfos zu den verschiedenen Trust-Typen: > http://technet.microsoft.com/en-us/library/cc775736(v=ws.10).aspx
Servus Robert, danke für die Infos zu Kerberos - das war eine äußerst wichtige Information für mich. Stefan _______________________________________________ lug-ts mailing list [email protected] http://www.lug-ts.de/mailman/listinfo/lug-ts
