Saya memiliki aplikasi web (hostname: service.domain.com) dan saya ingin menggunakan otentikasi Kerberos untuk mengidentifikasi pengguna yang masuk ke domain Windows. Microsoft AD (Windows Server 2008 R2) menyediakan layanan Kerberos.
Layanan ini adalah aplikasi web Java menggunakan pustaka ekstensi Spring Security Kerberos untuk mengimplementasikan protokol SPNEGO / Kerberos. Saya telah membuat file keytab dalam AD yang berisi rahasia bersama yang seharusnya cukup untuk mengotentikasi tiket Kerberos yang dikirim oleh browser klien menggunakan aplikasi web.
Pertanyaan saya adalah, apakah host layanan (service.domain.com) harus memiliki akses firewall (TCP / UDP 88) ke KDC (kdc.domain.com) atau apakah file keytab cukup untuk host layanan untuk dapat mendekripsi Tiket Kerberos dan memberikan otentikasi?
sumber
Jawaban:
The layanan tidak pernah perlu bicara ke KDC . Dibutuhkan keytab yang dibuat oleh KDC , tetapi Anda dapat menyalinnya sesuka Anda. Mereka tidak pernah harus berbicara satu sama lain.
Versi yang terlalu disederhanakan dari apa yang saya yakini berjalan kurang lebih seperti ini:
Menyiapkan layanan
scp
atau dilakukan pada USB stick jika Anda ingin)Klien terhubung ke layanan
sumber