微软提供了多种 窗口凭证提供商 密码(*1)-智能卡(窗口认证中的证书)(*2)-窗口hello、PIN(FIDO 2)(*3)等,作为微软windows的一部分,被称为 "安全支持提供者"。
Kerberos是Windows上使用密码进行交互式登录和使用Kerberos票据进行网络登录的主要用户认证方法。域用户登录过程
通过以上(*1)或(*2)或(*3)的使用,我很想知道有没有什么简单的方法来发行(创建)kerberos ticket?
我也参考了microsoft的API集,关于这个模型(域用户登录过程),但似乎没有一个API来发行(创建)kerberos ticket。
我参考的API是:SSPI。https:/docs.microsoft.comen-uswindowswin32apisspi。LsaLogonUser。https:/docs.microsoft.comen-uswindowswin32apintsecapinf-ntsecapi-lsalogonuser。
请告诉我。先谢谢你了!
凭证提供者不是SSP,他们是凭证提供者。他们将你使用的凭证从输入端(键盘、生物、智能卡)摆渡到SSP。他们不是要做重活。SSPs做的是实际的协议工作,即向任何你的权威服务进行认证。
你参考的图片在技术上并不准确,因为那是Vista之前的流程。图片左侧的一切都已经过时了。右边的大部分还是正确的。
抛开颜色评论,Samson是正确的。AD是票据创建者,你能让它创建票据的唯一方法是在你用凭证认证后请求它,其为命名的凭证到一个特定的命名服务。你请求票据的方式是通过SSPI? ACH 和 ISC 职能。SSP是这些函数的内部实现。
LsaLogonUser 将验证一个凭证,并将结果票据存储在一个专用的缓存中(与默认的登录会话缓存分开)。通常您会调用 CredUIPromptForWindowsCredentials(信用证) 来收集证书,并将缓冲区传递给 LsaLogonUser 或ACH功能。