Khơng cĩ thảo luận về các hoạt động thư mục xác thực hay khả năng tương tác sẽ được hồn thành mà khơng cĩ ít nhất một số đề cập đến việc thực hiện Kerberos 5 của Microsoft, và như thế nào nĩ chơi với bản phát hành Kerberos khác, chẳng hạn như một từ MIT. Microsoft đã cung cấp
http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp trên cấp độ khác nhau của sự tin tưởng cĩ thể đạt được giữa Active Directory và MIT Kerberos cõi. Nếu Kerberos là mới cho bạn, các trang web sau đây cung cấp thơng tin chung về giao thức và cách hoạt động:
http://www.microsoft.com/TechNet/prodtechnol/windows2000serv/deploy/kerberos.as p
Tại sao Kerberos nêu trong một chương về khả năng tương tác thư mục? Bởi vì một trong những người đầu tiên, và đơi khi những khĩ khăn, hurdles trong khả năng tương tác thư mục là cĩ thể truy cập thơng tin mà khơng cần phải nhớ tên người dùng đĩ và mật khẩu đi với dịch vụ mà. Trong khi đây khơng phải là một vấn đề khả năng tương tác theo nghĩa, thực tế nĩi, thư mục của bạn khơng cĩ giá trị nhiều nếu nĩ làm cho những điều khĩ khăn hơn cho bạn và người dùng của bạn. Khi thư mục hoạt động là một phần của phương trình, cĩ hai kịch bản cho dùng Kerberos xác thực:
Cĩ các khách hàng khơng phải của Microsoft sử dụng một Windows Kerberos authentication service (AS) cho xác thực.
Thiết lập một mối quan hệ tin cậy giữa miền Active Directory và một lĩnh vực phi - Microsoft Kerberos.
Để thực hiện các giải pháp đầu tiên, bạn cĩ thể sử dụng mơ-đun PAM hỗ trợ Kerberos vé, hoặc bạn cĩ thể cĩ chức năng dịch vụ Unix như một dịch vụ chính trong các tên miền Active Directory. Giải pháp thứ hai là khả thi chỉ khi một lĩnh vực Kerberos hiện tại đặt ra.
Tơi sẽ khơng mơ tả làm thế nào để thực hiện một trong các giải pháp chi tiết bởi vì nhiều người trong số các ứng dụng của Microsoft chưa là kerberized. Ví dụ, nĩ sẽ là thuận tiện để tìm kiếm một máy chủ OpenLDAP từ Microsoft Outlook chạy trên một thành viên của một miền Active Directory mà khơng cần phải xác định một tổ hợp đặc trưng cho OpenLDAP tên/mật khẩu đăng nhập. Tuy nhiên, khơng cĩ khơng cĩ cấu hình cho phép các phiên bản hiện tại của Outlook sử dụng cơ chế GSSAPI SASL để xác nhận khi kết nối tới một máy chủ OpenLDAP.[3] Cĩ lẽ điều này sẽ dễ dàng hơn trong tương lai. Để bây giờ, Kerberos cĩ thể hoặc cĩ thể khơng giúp đỡ trong nhu cầu khả năng tương tác của bạn thư mục. Bạn sẽ cần phải kiểm tra và quyết định cho chính mình.