我正在尝试在 Windows 域上为 Keycloak 实现 Kerberos 集成。我在 Keycloak 中添加了一个 ldap 提供程序,并设置了与 AD 的连接,一切正常。
我正在沙盒环境中对其进行测试 域:SANDBOX.NET DC:KEYTEST-DC 运行 keycloak 的应用服务器:KEYTEST-APP 使用 kerberos 测试自动登录的客户端机器:KEYTEST-CLIENT
我从以下操作开始(使用 DC 管理员帐户在 DC 上完成)
创建一个与运行keycloak的机器名同名的新AD服务用户名:KEYTEST-APP用户登录名:HTTP/keytest-app.sandbox.net密码:S@ndM@n
设置此用户的 spn setspn -A HTTP/keytest-app.sandbox.net@SANDBOX.NET KEYTEST-APP
创建 KeyTab 文件
ktpass /out keycloak.keytab /princ HTTP/keytest-app.sandbox.net@SANDBOX.NET /mapuser KEYTEST-APP@SANDBOX.NET /pass S@ndM@n
将 keytab 文件复制到应用服务器并使用它在 keycloak 中配置 kerberos Kerberos 领域:SANDBOX.NET 服务器主体:HTTP/keytest-app.sandbox.net@SANDBOX.NET Keytab:keytab 文件的位置
我进行了初步测试,一切正常。
然后我想记录整个过程,所以我重新开始,但选择 svc_keycloak 作为我的 AD 服务用户的名称,因为我发现其他文档没有指定名称必须与应用服务器的名称匹配。我也选择了一个不同的密码,但是当我测试它时它不起作用。密钥斗篷中的错误:SPNEGO login failed: java.security.PrivilegedActionException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
最终我发现,当我在 ktpass 命令中使用 S@ndM@n 密码时,它只适用于 svc_keycloak 用户,即使这是来自 KEYTEST-APP 用户的密码。
然后我做了很多测试,删除了 KEYTEST-APP 用户,创建了新的 DC 管理员帐户,更改了密码。然而,只有当我在 ktpass 命令中使用 S@ndM@n 作为密码时,kerberos 才有效(无论我尝试过什么用户)。
最后我从零开始,新的 DC,新的应用服务器,从头开始配置一切。这次我从新的服务用户开始:svc_keycloak 和一个全新的密码,但在 keycloak 中再次出现同样的错误。然后我再次创建了用户 KEYTEST-APP 并给它密码 S@ndM@n(也许我应该在这里选择一个不同的密码,我应该从头开始)现在一切都恢复了。使用 svc_keycloak 进行测试,如果我在 ktpass 命令中将 S@ndM@n 作为密码,它也同样有效。
删除KEYTEST-APP用户后它甚至继续工作,所以密码仍然必须存储在某个地方?我注意到当我删除 KEYTEST-APP 用户时,执行时我仍然得到服务主体名称: setspn -l KEYTEST-APP
经过一番研究(因为我对kerberos的了解非常有限)我发现这是因为KEYTEST-APP也是一个电脑账号。据我所知,每个计算机帐户都有自己的密码,但这些密码是完全随机的。
我只是想找出为什么它只适用于 S@ndM@n 密码。这是因为这是我为与应用服务器同名的用户使用的第一个密码吗?那么必须有一些方法来更新这个?或者也许我忽略了一些东西,有人在我的配置中看到了问题。
谢谢,雷米