我正在尝试使用此链接在Microsoft Active Directory上的UNIX计算机上配置JBoss Negotiation https://community.jboss.org/wiki/ConfiguringJBossNegotiationInAnAllWindowsDomain?_sscc=t
ktpass -princ HTTP/10.222.105.36@DEG01.DEV -pass * -mapuser spnego@DEG01.DEV
ktab -k c:/service.keytab -a HTTP/10.222.105.36@DEG01.DEV
但我收到了错误
Client not found in Kerberos database (6)
任何人都可以确认我的unix机器IP应该在Active Directory上定义吗?
感谢您的帮助
答案 0 :(得分:0)
是的,Kerberos身份验证工作的先决条件是正确的DNS和主机名和IP地址的反向DNS条目。
这种约束的目的是在安全团队中引入一个额外的层,但是一体化的ActiveDirectory打破了这个想法。
要验证您的设置,您可以在Unix上使用Kerberos命令行工具(MIT或Heimdal):
/etc/krb5.conf和默认领域设置kinit user执行基于密码的身份验证kvno HTTP/yourIP获取此SPN的TGS kvno HTTP/yourhost.yourdomain.com如果您已使用setspn -a klist -ef使用标记和加密查看缓存中的TGT和TGS票证kdestroy刷新用户的缓存kinit -k -t service.keytab HTTP/yourIP来测试基于密钥表的身份验证