在构建Kerberos票证请求发送到KDC时,将Windows客户端(在本例中为浏览器)配置为忽略DNS CNAME记录。如果您有CNAME,它还将解析CNAME指向的A记录,并在建立请求时使用A记录的FQDN。 可以覆盖:
我的情况与此类似,但涉及客户端浏览器和后端之间的中间层。客户端使用Kerberos向前端进行身份验证,这很好用,并且前端使用Kerberos约束委派将客户端的凭据委派给后端,这也很好。
我们最近发现此配置存在问题。我们的某些后端服务位于AWS ELB的后面,AWS ELB前面又有CNAMES,因此可以重新部署它们。
所以现在的问题是:在委派客户端凭据时是否可以更改前端服务器的Kerberos客户端的行为,以使用后端ELB的CNAME形成Kerberos请求,就像您可以在浏览器上做什么?
一些预选赛: