我们有一个使用Liferay 6.2编写并部署在tomcat服务器上的Web应用程序。使用集成Windows身份验证访问应用程序。如果直接在URL中使用主机名进行访问,则一切正常。
要隐藏实际的主机名,创建了一个CNAME记录。用于访问时,用户会反复提示输入凭据,尽管输入了正确的凭据,身份验证仍被拒绝。
我们尝试使用命令setspn -a "HTTP/<<friendly name>>"为CNAME创建SPN。由于使用HTTPS在标准端口443上建立连接,因此在创建SPN时未指定端口号。但是,重复的身份验证提示仍继续出现。该应用程序使用服务帐户运行。创建SPN时可以包括服务帐户。如果有其他建议可以尝试,请分享。
答案 0 :(得分:1)
“一切正常”是什么意思?是否收到提示,当您输入凭据时,它是否可以正常工作,或者单点登录并在没有提示的情况下登录到您?
得到提示的事实是因为a)新的cname不被视为位于Intranet /可信Internet区域中。请参阅Internet选项>安全性>本地Intranet /受信任的站点>站点。或b)发送到服务器的请求票证失败。
通常,您也不会将cname注册为SPN。您将cname指向的A记录注册为SPN。我的猜测是这导致了失败。 SPN已注册到错误的服务帐户,因此KDC使用错误的服务帐户密钥。