我已经在单个Active Directory域DOMAINA上成功配置了具有集成(Spnego/Kerberos)身份验证的Tomcat。

但是,我公司决定将DOMAINA分为两部分:


DOMAINA与用户
DOMAINB及其提供服务的服务器和服务器


域是受信任的。
现在,我必须配置Tomcat(和Spnego),该Tomcat现在在DOMAINB上运行以验证所有DOMAINA用户。

一些问题:


preauth用户应该是DOMAINA还是DOMAINB用户?
我是否需要一个新的本机DOMAINB预身份验证用户,或者我可以将username参数配置为DOMAINA\OLDPREAUTHUSER
SPN应该如何调整?用DOMAINA\OLDPREAUTHUSER还是我现在要为DOMAINB\NEWPREAUTHUSER定义(省略了多余的DOMAINB\前缀)?
我还更改了krb5.conf

[libdefaults]

default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes   = rc4-hmac
default_realm = DOMAINA


[领域]

DOMAINA = {
    kdc = KDCA
    default_domain = DOMAINA


}

DOMAINB = {
    kdc = KDCB
    default_domain = DOMAINB


}

[domain_realm]

.DOMAINB = DOMAINB
.DOMAINA = DOMAINA



这是对的吗?默认域应该是什么?

抱歉,编辑器无法很好地格式化代码...

最佳答案

默认领域是您的计算机所在的区域。也就是说,机器帐户始终绑定到一个且只有一个域。请注意,DOMAIN\USER是Windows 2000之前的样式,不建议使用。仅限于NTLM中的用户。如果处理Kerberos,则仅处理UPN和SPN。

10-08 08:35