我已经在单个 Active Directory 域 DOMAINA
上成功配置了具有集成 (Spnego/Kerberos) 身份验证的 Tomcat。
但是,我的公司决定将 DOMAINA
一分为二:
DOMAINA
与用户DOMAINB
以及提供它们的服务和服务器
域是可信的。
现在我必须配置 Tomcat(和 Spnego),它现在运行在 DOMAINB
上以验证所有 DOMAINA
用户。
一些问题:
- preauth 用户应该是
DOMAINA
还是DOMAINB
用户? - 我是否需要一个新的本地
DOMAINB
preauth 用户,或者我可以将用户名参数配置为DOMAINA\OLDPREAUTHUSER
? - 应如何调整 SPN?使用
DOMAINA\OLDPREAUTHUSER
还是我现在要为DOMAINB\NEWPREAUTHUSER
定义(省略多余的DOMAINB\
前缀)? 我还更改了
krb5.conf
:[库默认值]
default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac permitted_enctypes = rc4-hmac default_realm = DOMAINA
[领域]
DOMAINA = { kdc = KDCA default_domain = DOMAINA
DOMAINB = { kdc = KDCB default_domain = DOMAINB
[域领域]
.DOMAINB = DOMAINB .DOMAINA = DOMAINA
是否正确?默认域应该是什么?
抱歉,编辑器不会很好地格式化代码...
最佳答案
默认领域是您的机器所在的领域。即,机器帐户始终绑定(bind)到一个且仅一个域。请注意,DOMAIN\USER
是 Windows 2000 之前的样式,已弃用。仅限 NTLM 中的用户。如果您处理 Kerberos,则您只处理 UPN 和 SPN。
关于tomcat - Spnego 跨域配置,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13746669/