我有一个已启用SPNEGO的嵌入式jetty项目。我希望能够在本地运行此项目以进行开发(启用SPNEGO!)
我的问题是,SPN和keytab是否与特定服务器相关联,或者我可以在多个服务实例上使用相同的设置吗?
答案 0 :(得分:0)
Kerberos要求客户端和服务器以某种方式计算服务主体,而无需事先联系。如果您同时控制客户端和服务器,则可以使用所需的任何主体,前提是您将两端配置为 使用相同的原则。
在SPNEGO案例中,客户执行"标准"并根据服务器的主机名构建主体。 (即我想与www.foo.com交谈,我会尝试
请求HTTP/www.foo.com服务票证并查看服务器是否接受它。 )
我不知道如何在浏览器中使用SPNEGO代码来使用固定服务主体。因此,在这种情况下,您需要为每个服务器提供单独的密钥表。