與活動目錄的SSO握手

Question

我已經完成了一個小型的TCP/IP服務器，它的行爲與ftp服務器非常相似。 在客戶端，我使用API​​連接並與服務器交換數據。

此服務器將在active-directory生態系統中，所以客戶端。

我應該使用什麼樣的API在我的服務器上實現SSO/AD身份驗證？ （一切都寫在C）

我已經看到，SqlServer正在通過Trusted connection期限這樣做。也許是一個簡單的事情？

我應該導致SSPI exchange loop？

Answer 1

是的，您需要從客戶端初始化安全上下文並接受來自服務器的爭用，直到安全上下文建立。如果您擔心您的私人，則可以使用Kerberos加密整個流量。