我正在构建一个带有Jaas的Kerberos登录模块,将由Jconsole使用。
Jconsole将是用于访问具有公开MBean的进程的客户端,kerberos loginmodule将对用户进行身份验证。
用户将通过Jconsole登录,Jconsole将用户数据传递给loginmodule,然后由Kerberos loginmodule处理用户名和密码,并根据中央活动目录验证用户凭据。
我遇到Kerberos的配置问题。即。这需要设置SPN吗?或者它只需要一个KeyTab设置吗?
答案 0 :(得分:2)
如果您在控制台上询问用户的用户名和密码,则不需要keytab和SPN。您需要的只是JAAS的插件,它会要求输入密码。 Kerberos会话将启动JAAS登录模块,您将在应用程序内部使用TGT。
另一方面,如果您计划从用户(他们当前的Windows域会话)接受现有的kerberos会话,那么您需要在活动目录中安装SPN,并且不会通过您的应用程序提示用户输入密码。
keytab只是存储在kerberos数据库中的密钥的副本,您始终需要SPN来生成密钥表。但是,如果不是这样,您可以通过提供SPN密码从活动目录中获取会话密钥。