gpt4 book ai didi

c++ - Kerberos 管理员授权

转载 作者:行者123 更新时间:2023-11-27 22:57:25 24 4
gpt4 key购买 nike

我正在编写与 MS Active Directory 集成的 Linux 应用程序。为此,我使用了 Kerberos。我已经实现了使用给定凭据对域用户进行身份验证的机制,但现在我想检查用户是否是管理员组的成员。

所以我从函数中获得了 creds

error = krb5_get_init_creds_password(context, &creds, principals,
password.c_str(), NULL, NULL, 0, NULL, NULL);

这里我想实现授权用户/管理员的逻辑

if(!error) {
// admin check
}

我正在考虑使用 krb5_verify_init_creds 函数,但我不确定该怎么做。

最佳答案

Kerberos 不做授权,只做认证。 (即它可以弄清楚你是谁,但不能弄清楚你被允许做什么)。

一般来说,一旦您获得了 kerberos ID,您就会询问一些授权服务允许该 ID 做什么。在这种情况下,最直接的做法是进行 ldap 查询以查明用户是否是您感兴趣的组中的成员。

MS kerberos 通过将 AD 知道的额外组信息添加到 kerberos 服务票证来违反此原则。但是,我不知道有任何标准的 kerberos API 可以提供对这些信息的访问。

关于c++ - Kerberos 管理员授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31407383/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com