0

我想创建 SPN 和 keytab 以包含代理 DNS,以便代理可以将标头转发到后端。我不确定什么是主机、域和领域。有人可以验证它看起来是否正常吗?还是我添加了太多 example.com?

代理的服务器名称配置为 testing.example.com 领域为 example.com

setspn -a HTTP/testing.example.com testinghttp

setspn -a HTTP/testing.example.com.example.com testinghttp

ktpass -princ HTTP/testing.example.com.example.com@example.com -pass 密码 -mapuser example\testinghttp -crypto ALL -ptype KRB5_NT_PRINCIPAL -out d:\temp\key.keytab -kvno 0

4

1 回答 1

0

假设代理在同一个域中,你只需要知道代理的人脸url。使用这个人脸 url 作为 SPN 值。假设您的代理面孔 url 是http://testing.example.com,命令setspn -a HTTP/testing.example.com testinghttp是正确的。

此外,如果您正在生成 keytab,则无需执行上述命令。ktpass 中指定的 SPN(即代理人脸 url)会自动附加到给定用户。用户的 UPN 也会更改为此 SPN 值。

代理将(它必须)将请求“按原样”(带有所有标头)重定向到端节点/服务器。在接收端(服务器),您需要接受“协商”标头中存在的票证。为此,您必须使用上面生成的密钥表(及其密码)。

于 2019-12-12T09:01:35.093 回答