0

我已经成功地在单个 Active Directory 域上配置了具有集成 ( Spnego/KerberosDOMAINA ) 身份验证的 Tomcat ,.

但是,我的公司决定一分为DOMAINA二:

  • DOMAINA与用户
  • DOMAINB使用提供它们的服务和服务器

域是受信任的。现在我必须配置 Tomcat(和 Spnego),它现在正在运行DOMAINB以验证所有DOMAINA用户。

一些问题:

  • preauth 用户应该是 a DOMAINAorDOMAINB用户?
  • 我是否需要一个新的本地DOMAINBpreauth 用户,或者我可以将用户名参数配置为DOMAINA\OLDPREAUTHUSER
  • SPN应该如何调整?有DOMAINA\OLDPREAUTHUSER或有我现在定义DOMAINB\NEWPREAUTHUSER(省略冗余DOMAINB\前缀)?

  • 我也改变了krb5.conf

    [libdefaults]

    default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes   = rc4-hmac
default_realm = DOMAINA

    [领域]

    DOMAINA = {
    kdc = KDCA
    default_domain = DOMAINA

    }

    DOMAINB = {
    kdc = KDCB
    default_domain = DOMAINB

    }

    [domain_realm]

    .DOMAINB = DOMAINB
.DOMAINA = DOMAINA

这是对的吗?默认域应该是什么?

抱歉,编辑器不会很好地格式化代码......

4

1 回答 1

0

默认领域是您的机器所在的位置。即,机器帐户始终绑定到一个且仅一个域。请注意,这DOMAIN\USER是 Windows 2000 之前的样式,已弃用。仅限 NTLM 中的用户。如果您处理 Kerberos,则仅处理 UPN 和 SPN。

于 2012-12-07T21:18:38.857 回答