我正在研究 Kerberos 委托,我希望根据传入的票证模拟用户,并连接到第三方系统。
我的观察是,仅当Krb5LoginModule 设置中的标志设置为context.getCredDelegState()true 时才返回true。isInitiator
我的困惑是,我的服务器端代码(代表用户建立连接)是Acceptor而不是Initiator,所以我将标志设置为 false 不是很明显吗?但是我无法委派凭据。
如果有人能提供一个很好的解释,那将非常有帮助。
更新:我发现当您在 AD 中为服务用户设置委托时(例如 - “信任此用户以委托任何服务”) - 然后客户端(从浏览器访问服务的用户)必须注销并重新登录。然后接收委托凭证。在这种情况下,“isInitiator”设置为 true。