使用tc服务器设置kerberos时出现的问题

Question

红帽linux上的tc服务器我一直在尝试遵循这个示例：http://tomcat.apache.org/tomcat-7.0-doc/windows-auth-howto.html AD服务帐户设置setspn和ktpass执行命令以创建spn和keytab

如果我将mapuser选项与ktpass命令一起使用，并允许更改用户主体名称，那么它将适用于该spn。我无法将其配置为能够对一个AD服务ID使用多个spns。AD帐户已设置为委派。

jaas.conf片段

com.sun.security.jgss.krb5.initiate {
        com.sun.security.auth.module.Krb5LoginModule required
        useTicketCache=false
        useKeyTab=true
        keyTab="<path>/test5a.keytab"
        principal="<fqdn>"
        storeKey=true
        doNotPrompt=true;
};

com.sun.security.jgss.krb5.accept {
        com.sun.security.auth.module.Krb5LoginModule required
        useTicketCache=false
        useKeyTab=true
        keyTab="<path>/test5a.keytab"
        principal="HTTP/<fqdn>"
        storeKey=true
        doNotPrompt=true;
};

如果我将upn更改为除spn以外的任何值，则无法在kerberos数据库中找到用户。为了能够将一个AD服务帐户用于多个spns，我缺少什么？

Answer 1

SPN还链接到keytab，因此您需要为每个SPN生成一个新的keytab文件。