我是 Kerberos 的新手,我不确定浏览器如何知道要联系哪个 KDC 以获取 HTTP 服务的票证?
例如,我有一个在www.xyz.example.com上运行的应用程序 (SPNEGO) ,我的领域是 example.com(我有一个 linux 服务器作为 KDC 服务器),将创建什么 SPN 以及浏览器如何联系 KDC?
问问题
59 次
1 回答
1
浏览器如何知道要联系哪个 KDC 以获取 HTTP 服务的票证?
浏览器从不直接联系 KDC。相反,它依赖于操作系统维护的票证缓存。如果在缓存中找不到指定服务的票证,则操作系统与 KDC 连接并将新票证放入缓存中,浏览器可以从中获取它。
将创建什么 SPN 以及浏览器如何联系 KDC?
SPN 的一般格式为<service class>/<host>:<port>/<service name>. 如果您有一个在 上运行的 Web 应用程序xyz.example.com,那么通常(不一定)您的 SPN 的格式将是HTTP/xyz.example.com
SPN 不是自动定义的。管理员必须在生成密钥表时注册 SPN。
于 2021-09-16T06:07:26.263 回答