tomcat - Spnego 跨域配置

标签 tomcat kerberos spnego

我已经在单个 Active Directory 域 DOMAINA 上成功配置了具有集成 (Spnego/Kerberos) 身份验证的 Tomcat。

但是,我的公司决定将 DOMAINA 一分为二:

  • DOMAINA 与用户
  • DOMAINB 以及提供它们的服务和服务器

域是可信的。 现在我必须配置 Tomcat(和 Spnego),它现在运行在 DOMAINB 上以验证所有 DOMAINA 用户。

一些问题:

  • preauth 用户应该是 DOMAINA 还是 DOMAINB 用户?
  • 我是否需要一个新的本地 DOMAINB preauth 用户,或者我可以将用户名参数配置为 DOMAINA\OLDPREAUTHUSER
  • 应如何调整 SPN?使用 DOMAINA\OLDPREAUTHUSER 还是我现在要为 DOMAINB\NEWPREAUTHUSER 定义(省略多余的 DOMAINB\ 前缀)?

  • 我还更改了krb5.conf:

    [库默认值]

    default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes   = rc4-hmac
default_realm = DOMAINA

    [领域]

    DOMAINA = {
    kdc = KDCA
    default_domain = DOMAINA


    DOMAINB = {
    kdc = KDCB
    default_domain = DOMAINB

    [域领域]

    .DOMAINB = DOMAINB
.DOMAINA = DOMAINA

是否正确?默认域应该是什么?

抱歉,编辑器不会很好地格式化代码...

最佳答案

默认领域是您的机器所在的领域。即,机器帐户始终绑定(bind)到一个且仅一个域。请注意,DOMAIN\USER 是 Windows 2000 之前的样式,已弃用。仅限 NTLM 中的用户。如果您处理 Kerberos,则您只处理 UPN 和 SPN。

关于tomcat - Spnego 跨域配置,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13746669/

上一篇:java - tomcat 7访问映射驱动器

下一篇:java - Tomcat AD 身份验证 - 允许所有 AD 用户

相关文章:

java - 在 Tomcat UnpackWARs 属性设置为 false 的情况下使用 vRaptor 3

Alfresco Share - Kerberos SSO 问题

java - 通过 HttpClient 进行 SPNEGO 身份验证

node.js - 使用 LoopBack 和 Kerberos 的 Node.js 应用程序性能达到峰值

java - Windows 上的 Java SE6 客户端通过 NTLM 进行 HTTP "Negotiate"身份验证

java - Jetty + 程序化 SPNEGO 配置

必须定期清除 Tomcat 工作目录

java - Tomcat 无法在 java 类中找到引用的文件

java - 无法通过类型转换为类型

c++ - 使 SASL(带有 GSSAPI)启用客户端和服务器并使用 LDAP+kerberos 作为身份验证器? (SSO 系统上的单点登录)

©2024 IT工具网  联系我们