Использовать ли SPN с модулем входа Kerberos в JAAS

Question

Использовать ли SPN с модулем входа Kerberos в JAAS

Я создаю модуль входа Kerberos с Jaas, который будет использоваться Jconsole.

Jconsole будет клиентом, используемым для доступа к процессу с открытыми MBean-компонентами, модуль входа в систему Kerberos аутентифицирует пользователя.

Пользователь войдет в систему через Jconsole, а Jconsole передаст данные пользователя в модуль входа в систему, затем имя пользователя и пароль будут обработаны модулем входа в систему Kerberos, а учетные данные пользователя будут проверены по центральному активному каталогу.

У меня проблемы с настройкой этого для Kerberos. А именно. Это потребует установки SPN? Или потребуется только одна настройка KeyTab?

1

active-directory kerberos jaas jconsole spn

Источник

user4792686 26 июн '15 в 10:51

1 ответ

Решение

Другие вопросы по тегам active-directory kerberos jaas jconsole spn

user186099 26 июн '15 в 13:45 2015-06-26 13:45 · Accepted Answer · 2015-06-26 13:45

Если вы запрашиваете у пользователя имя пользователя и пароль на консоли, то вам не нужны ни keytab, ни SPN. Все, что вам нужно, это плагин для JAAS, который будет запрашивать пароль. Сеанс Kerberos будет инициирован модулем входа в систему JAAS, и у вас будет TGT внутри вашего приложения.

С другой стороны, если вы планируете принять существующий сеанс Kerberos от пользователя (текущий сеанс домена Windows), вам необходимо иметь имя участника-службы в активном каталоге, и приложение не будет запрашивать у пользователя пароль.

Таблица ключей - это просто копия ключа, хранящегося в базе данных Kerberos, для создания таблицы ключей всегда требуется SPN. Но обратное неверно, вы можете получить ключ сеанса из активного каталога, указав пароль SPN.