|
|
|
Kerberos: как настроить spn?
|
|||
|---|---|---|---|
|
#18+
Возможно, вопрос не в эту ветку, но, может кто сталкивался. Имеем: - хост, условно назовем его jbosshost - специально созданный в AD пользователь jbossuser . Имена пользователя и хоста не совпадают! Необходимо настроить интегрированную аутентификацию. На данный момент на пользователя jbossuser настроен следющий меппинг: Код: powershell 1. 2. 3. 4. Положение усугубляется тем, что хост jbosshost - компьютер в AD, то есть для него имеется ряд автоматически созданных записей Код: powershell 1. 2. 3. 4. В login-config.xml указан принципал host/jbossuser@MYDOMAIN.COM: Код: xml 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. При попыкте аутентификации получаем отказ, в конце стека Caused by: java.security.GeneralSecurityException: Checksum failed Где допущена ошибка? Есть подозрение, что spn необходимо привязать к копьютеру, то есть: - удалить автоматический мэппинги для jbosshost (host/jbosshost и host/jbosshost.mydomain.com), тут немного страшно, смогу ли потом зайти на этом компьютере в домен - замапить host/jbosshost на jbossuser - указать соответствующего принципала в login-config.xml Действительно ли требуется привязка к компьютеру? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.10.2014, 16:25 |
|
||
|
Kerberos: как настроить spn?
|
|||
|---|---|---|---|
|
#18+
keytab сгенерен? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.10.2014, 16:31 |
|
||
|
Kerberos: как настроить spn?
|
|||
|---|---|---|---|
|
#18+
Для меня в своё время эта инструкция стала отправной точкой https://spring.io/blog/2009/09/28/spring-security-kerberos-spnego-extension ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.10.2014, 16:37 |
|
||
|
Kerberos: как настроить spn?
|
|||
|---|---|---|---|
|
#18+
да, логин модуль работает через кейтаб, его содержимое Код: powershell 1. 2. 3. 4. 5. дело в том, что в мануалах везде название хоста и юзера совпадают, то есть в моем случае надо было бы везде jbossuser заменить на jbosshost. Первоначально и была подобная попытка, в результате которой был компьютер после перезагрузки был послан контроллером домена куда подальше. В идеале хотелось бы получить кейтаб, отвязанный от хоста, или, по крайней мере, с отдельным пользователем В вики все-таки предлагают удалить автоматические меппинги, но страшновато. Возможно, следует оставить host/jbosshost как есть, а замапить какой-нибудь свободный SPN, например http/jbosshost? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.10.2014, 16:46 |
|
||
|
Kerberos: как настроить spn?
|
|||
|---|---|---|---|
|
#18+
Может, кому пригодится. Нашел ответ на свой вопрос у томката: http://tomcat.apache.org/tomcat-7.0-doc/windows-auth-howto.html Вкратце - SPN привязывается к пользователю и компьютеру одновременно, так как: - меппинг содержит название хоста - на пользователя может быть замаплено не более 1 SPN Таким образом, желание сделать непривязанный кейтаб неосуществимо, для каждого хоста придется создавать пользователя. Убедился на практике, перепробовав все варианты ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.11.2014, 11:17 |
|
||
|
|
start [/forum/topic.php?fid=59&fpage=151&tid=2126248]: |
0ms |
get settings: |
5ms |
get forum list: |
10ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
64ms |
get topic data: |
6ms |
get forum data: |
1ms |
get page messages: |
25ms |
get tp. blocked users: |
1ms |
| others: | 195ms |
| total: | 311ms |
| 0 / 0 |
