确实是佩服F5公司,网上说FP是屡获殊荣,有着绝对领先于竞争产品的验证技术,一点也不假!
它的动态组映射,确实太有开创意义了,本地无需任何帐号,却能完成几乎目前能见到的所有认证方式~
今天仔细研究了其与AD进行KERBOS认证的行为,自感觉似乎还没完全领会其中的奥秘,仅记录以便后查
FP利用预配置的域帐号进行的帐号查询---->组映射无匹配,不会执行主组验证用户---->查询是否本地有对应账户----->如果没有,则使用从属主组里的组来验证(按顺序)。
注:在V5。5版本的时候这个验证顺序很难理解,靠不断摸索才明白,升级到6。0后,系统竟然直接描述了这整个过程,很清晰,没有白升级啊。
FP利用预配置的域帐号进行的帐号查询---->组映射有匹配,执行主组方式验证用户--->要么通过,要么通不过。
转载请注明:http://www.myf5.cn
不管主映射条目有多少条,域控日志就表现为两次票据查询、验证过程。
文章评论