Kerberos, не может использовать расширения S4U2Self и S4U2Proxy с MIT KDC Server
Ниже мой сценарий:
Клиент подключается к промежуточному сервису, а промежуточный сервис подключается к целевому сервису. Я хочу использовать учетные данные клиента из промежуточной службы для подключения к целевой службе.
Я использовал приведенный ниже код в промежуточном сервисе для получения учетных данных клиента.
GSSCredential clientCredential =((ExtendedGSSCredential)intermediateServiceCreds).impersonate(clientGSSName);
Установление контекста не удается с
NOT_ALLOWED_TO_DELEGATE
Нужно ли устанавливать какие-либо флаги при создании принципа клиента, промежуточного сервиса и целевого сервиса? Я не хочу вносить изменения в код клиента, чтобы установить для делегирования учетных данных значение true.
1 ответ
Похоже, что у вашего промежуточного участника службы отсутствует атрибут "ok_to_auth_as_delegate". https://web.mit.edu/kerberos/krb5-devel/doc/admin/admin_commands/kadmin_local.html