bagaimana sistem (laptop) yang berada di domain tidak dapat mengakses sumber daya jaringan yang sama hanya menggunakan nama pengguna dan kata sandi dari pengguna direktori aktif?
Itu tergantung pada "sumber daya jaringan" yang terlibat. Di komputer Windows yang bergabung dengan domain yang Anda gunakan untuk masuk, setidaknya ada dua identitas Kerberos klien yang sedang dimainkan:
- Anda, pengguna @ DOMAIN
- komputer, workstation $ @ DOMAIN
Ada juga host / workstation @ DOMAIN, tapi itu umumnya identifikasi layanan yang berjalan di host, sedang diakses dari tempat lain. Jika proses istimewa pada host ingin melakukan sesuatu - katakan, tambahkan namanya ke DNS menggunakan DNS dinamis terautentikasi Kerberos - itu akan menggunakan identitasnya untuk melakukannya, workstation $ @ DOMAIN. Namun, jika Anda dalam sesi login Anda mengakses beberapa sumber daya sendiri - katakanlah berbagi jaringan CIFS, atau URL HTTP yang diautentikasi - maka identitas klien adalah nama utama Anda , pengguna @ DOMAIN (kredensial yang diperoleh secara otomatis untuk Anda menggunakan kata sandi yang Anda masukkan untuk masuk). Dari pertanyaan Anda, Anda tampaknya berpikir bahwa beberapa kombinasi terlibat; bukan, mereka terpisah.
Inilah sebabnya mengapa tidak ada masalah menggunakan Kerberos untuk mengakses sumber daya berbasis Windows dari platform lain. Anda juga dapat mengetik "pengguna kinit" pada kotak Linux, masukkan kata sandi Anda untuk mendapatkan kredensial Kerberos (TGT) dari pengontrol domain, dan kemudian menggunakan Firefox untuk mengakses halaman web terautentikasi Kerberos di IIS. Protokol untuk semua ini adalah standar, dan Anda tidak memerlukan apa pun kecuali kredensial pengguna Anda.
Jawaban sebelumnya mengklaim bahwa NTLM diperlukan dalam kasus ini; itu salah (meskipun tentu itu dapat digunakan). Namun, ketika Anda mengakses beberapa sumber daya dari komputer non-domain dan diminta untuk nama pengguna dan kata sandi Anda, Anda tidak perlu tahu metode otentikasi apa yang sebenarnya digunakan. Mungkin menggunakan Kerberos. Mungkin juga jatuh kembali ke mekanisme berbasis kata sandi di mana ia mengirimkan nama pengguna dan kata sandi Anda ke server untuk verifikasi, dan kemudian men-cache kata sandi Anda sehingga Anda tidak perlu memasukkannya kembali. Banyak protokol memungkinkan keduanya melalui skema abstraksi seperti SASL. Anda harus melihat di kawat untuk melihat apa yang terjadi.