我已经在单个Active Directory域DOMAINA
上成功配置了具有集成(Spnego/Kerberos)身份验证的Tomcat。
但是,我公司决定将DOMAINA
分为两部分:DOMAINA
与用户DOMAINB
及其提供服务的服务器和服务器
域是受信任的。
现在,我必须配置Tomcat(和Spnego),该Tomcat现在在DOMAINB
上运行以验证所有DOMAINA
用户。
一些问题:
preauth用户应该是DOMAINA
还是DOMAINB
用户?
我是否需要一个新的本机DOMAINB
预身份验证用户,或者我可以将username参数配置为DOMAINA\OLDPREAUTHUSER
?
SPN应该如何调整?用DOMAINA\OLDPREAUTHUSER
还是我现在要为DOMAINB\NEWPREAUTHUSER
定义(省略了多余的DOMAINB\
前缀)?
我还更改了krb5.conf
:
[libdefaults]
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
default_realm = DOMAINA
[领域]
DOMAINA = {
kdc = KDCA
default_domain = DOMAINA
}
DOMAINB = {
kdc = KDCB
default_domain = DOMAINB
}
[domain_realm]
.DOMAINB = DOMAINB
.DOMAINA = DOMAINA
这是对的吗?默认域应该是什么?
抱歉,编辑器无法很好地格式化代码...
最佳答案
默认领域是您的计算机所在的区域。也就是说,机器帐户始终绑定到一个且只有一个域。请注意,DOMAIN\USER
是Windows 2000之前的样式,不建议使用。仅限于NTLM中的用户。如果处理Kerberos,则仅处理UPN和SPN。