我们使用httpd webservers进行以下设置,如下所示:
见下: 服务器A 从浏览器接收请求执行某些操作并创建新请求并将其发送到服务器B 。 用户X 在服务器B 上进行了身份验证,但用户Y 不是(并且不应该)。由于A正在创建新请求,因此B认为Y已发送请求并因此拒绝该请求。删除服务器A不是一个选项。我该如何解决这个问题。你能帮忙吗?
答案 0 :(得分:5)
这可以通过委托来解决:服务器A应该在向服务器B发出请求时将自己验证为用户X.
团:
Kerberos委托有时被称为"双跃点":http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx
Active Directory管理员可能不喜欢给予服务A委托票证的权利(即以用户X身份登录域中的任何其他服务)。这就是为什么一个"约束授权"几年前推出。它使AD管理员能够让服务A仅作为用户X登录到服务器B.他们可以在代表服务A的activeDirectory帐户上设置它。