Spnego跨域配置

时间:2012-12-06 15:15:14

标签: tomcat kerberos spnego

我已成功在单个Active Directory域DOMAINA上配置了集成(Spnego/Kerberos)身份验证的Tomcat。

但是,我的公司决定将DOMAINA分成两部分:

  • DOMAINA与用户
  • DOMAINB提供服务和提供服务的服务器

域名受信任。 现在我必须配置Tomcat(和Spnego),它现在在DOMAINB上运行,以验证所有DOMAINA个用户。

有些问题:

  • preauth用户应该是DOMAINADOMAINB用户?
  • 让我要求新的原生DOMAINB preauth用户,或者我可以将用户名参数配置为DOMAINA\OLDPREAUTHUSER
  • 如何调整SPN?使用DOMAINA\OLDPREAUTHUSER或者我现在要为DOMAINB\NEWPREAUTHUSER定义(省略冗余DOMAINB\前缀)?

  • 我也改变了krb5.conf

    [libdefaults] 

    default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes   = rc4-hmac
default_realm = DOMAINA

    [领域] 

    DOMAINA = {
    kdc = KDCA
    default_domain = DOMAINA

    } 

    DOMAINB = {
    kdc = KDCB
    default_domain = DOMAINB

    }

    [domain_realm] 

    .DOMAINB = DOMAINB
.DOMAINA = DOMAINA

这是对的吗?什么应该是默认域名?

很抱歉,编辑不能很好地格式化代码......

1 个答案:

答案 0 :(得分:0)

默认领域是您的计算机所在的位置。即,机器帐户始终绑定到一个且仅一个域。请注意DOMAIN\USER是Windows 2000之前的样式并且已弃用。仅限NTLM中的用户。如果您处理Kerberos,则只处理UPN和SPN。

相关问题
最新问题