最近,我正在使用AD和Spring Security Kerberos进行一些实验。我不确定这是一个错误,还是我错误配置了一些设置。
我有2个域(domain1和domain2)。 Domain1和domain2不在同一个林中,并且它们之间没有任何信任。
Domain1有一个spn(HTTP / test-server.domain1.org)。在另一台服务器上运行的另一个HTTP应用程序在domain1中生成了一个keytab,这与我们之前的spn绑定。
在domain2中,我为domain1(HTTP / test-server.domain1.org)添加了相同的spn。另一方面,我有一个win7客户端,它是domain2的成员,当我尝试对HTTP应用程序进行SSO时,它允许我通过。这可能是一个安全问题吗?因为似乎我在HTTP应用程序中的keytab是在domain1中生成的,并且也绑定到domain1中的用户。
答案 0 :(得分:0)
拥有密钥表文件时,您正在按照声明的方式针对AD使用Kerberos。您生成密钥表并将其和SPN映射到域中用于查询AD的用户帐户。您必须注意,当Kerberos身份验证失败时,浏览器将按优先级回退到下一个身份验证机制。在这种情况下,将是NTLM,这是一种Microsoft身份验证机制,由于安全性较差,他们正在逐步淘汰该机制,但它可以轻松,自动地将Windows登录凭据传递给Web服务器。这可能并且很可能会解释您所看到的行为。