如何使用AuthType.Kerberos对Active Directory中的用户进行身份验证

Kerberos不使用您在这里所说的用户名和密码，而是使用一个带有中央服务器的基于票证的身份验证系统。Kerberos的实现非常复杂，通常只在您希望对登录用户进行双跳身份验证的情况下使用。这意味着应用程序希望使用已登录的用户的凭据来访问辅助系统。例如，如果您有一个从exchange服务器提取数据的SharePoint网站，您可能希望将当前登录用户的详细信息从SharePoint传递到exchange。这通常使用Kerberos和受限委派来完成。

事实上，你可能想要的应用程序是Windows身份验证（NTLM），它允许应用程序对域用户进行身份验证（然而，在常见情况下，这也不会在应用程序级别使用用户名和密码）。

===编辑===

要使用.Net Web应用程序实现kerberos，您需要执行以下

• 为应用程序池启用受约束的委派http://blogs.msdn.com/b/dotnetremoting/archive/2006/07/06/662599.aspx
• 为您的站点设置SPNhttp://support.microsoft.com/kb/929650
• 在调用远程服务时，将代码设置为使用kerberos，这基本上只是设置协议。您不需要实际发送用户名或密码

本文就如何解决系统问题提供了一些很好的建议http://blogs.technet.com/b/askds/archive/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1.aspx