我有一个在 Linux 上运行的 webapp,它使用委派来有效地镜像发出请求的用户的权限。webapp 使用如下所示的 keytab:
KVNO Timestamp Principal
---- ----------------- --------------------------------------------------------
3 12/31/69 18:00:00 HTTP/my-website.com@DOMAIN
并且适当的 SPN 被添加到 webapp 的服务帐户中,如下所示:
HTTP/my-website.com@DOMAIN
这一切都很好。
对 web 应用程序有一个新的要求,即它还能够访问它需要的资源,而独立于它代表用户所做的委派。例如,它需要访问应用程序用户不一定有权访问的数据库。webapp 有没有办法使用相同的 Keytab 来生成票证,这样它既可以继续代表用户进行委托,又可以访问它所需的资源?