我想创建SPN和密钥表以包括代理DNS,以便代理可以将标头转发到后端。我不确定什么是主机,域和领域。有人可以验证它看起来还好吗?还是我添加了太多example.com?
该代理的服务器名称配置为testing.example.com 领域是example.com
setspn -a HTTP / testing.example.com testinghttp
setspn -a HTTP / testing.example.com.example.com testinghttp
ktpass -princ HTTP/testing.example.com.example.com@example.com -pass密码-mapuser example \ testinghttp -crypto ALL -ptype KRB5_NT_PRINCIPAL -out d:\ temp \ key.keytab -kvno 0
答案 0 :(得分:0)
假设代理位于同一域中,您只需要知道代理的面部网址即可。使用此面部网址作为SPN值。假设您的代理人头像网址为 http://testing.example.com ,则命令 setspn -a HTTP / testing.example.com testinghttp 是正确的。
此外,如果要生成密钥表,则无需执行上述命令。在ktpass中指定的SPN(代理人脸URL)将自动附加到给定用户。 用户的UPN也更改为此SPN值。
代理将(必须)将请求“按原样”(带有所有标头)重定向到终端节点/服务器。 在接收端(服务器),您需要接受“协商”标题中存在的票证。您必须为此使用上面生成的密钥表(及其密码)。