Einleitung
Zwei Methoden der einmaligen Anmeldung für eine Sitzung sind verfügbar:
Kerberos-Durchleitung | Echte Kerberos-Authentifizierung mit Clients, die Kerberos unterstützen. Innerhalb einer Sitzung können Sie auf Netzwerkressourcen, z. B. Dateiserver, zugreifen, ohne sich erneut authentifizieren zu müssen; dies funktioniert automatisch über Kerberos. |
Durchleitung | Verwendet zwischengespeicherte Anmeldedaten (Benutzername und Kennwort) von der lokalen Anmeldung zur Authentifizierung. Für den Zugriff auf Netzwerkressourcen innerhalb von Sitzungen müssen Sie Ihre Anmeldedaten erneut eingeben. |
Kerberos ist ein Authentifizierungsdienst. Er arbeitet mit Benutzer-, Dienst- und Computerentitäten, die als Prinzipale bezeichnet werden. Diese Principals gehören alle zu einem Realm, einer Verwaltungseinheit. Jeder Principal hat einen eindeutigen Principal name innerhalb des Realms. Zur Bereitstellung des Authentifizierungssystems wird ein Dienst verwendet, der als Schlüsselverteilungszentrum bekannt ist.
Beispielsweise bilden Microsoft Windows-Domänen einen Realm. Der Windows-Domänenname ist der Realm-Name (in Großbuchstaben), z.B. EXAMPLE.COM. Ein Benutzerprinzipal wäre zum Beispiel user@EXAMPLE.COM. Die Domänencontroller übernehmen die Rolle der Schlüsselverteilungszentren.
Bei der Anmeldung erhält ein Benutzer vom Schlüsselverteilungszentrum ein Ticket zur Gewährung eines Tickets. Dieses Ticket läuft nach einer bestimmten Zeit ab (normalerweise 1 Tag). Wenn der Benutzer z.B. eine ICA-Sitzung startet, kann der Client mit Hilfe des Ticket Granting Tickets ein sogenanntes Serviceticket von der Schlüsselverteilungsstelle beziehen. Mit diesem Service-Ticket wird die Authentifizierung gegenüber dem ICA-Server durchgeführt.
Um die Passthrough-Authentifizierung zu aktivieren, müssen Sie bestimmte Einstellungen vornehmen: