使用多个SPN配置Tomcat 6

Question

我正在尝试在Windows Server2008上配置Tomcat6，以使用recognise Kerberos tickets，但没有太多运气。我有一个包含多个SPN的keytab，但似乎只能在spnego配置中指定一个主体名称。

使用多个SPN的原因是，这样我既可以直接验证到服务器的连接，也可以通过负载均衡器别名验证连接。

以前有没有人尝试过，有什么建议？

login.conf：

spnego-server {
    com.sun.security.auth.module.Krb5LoginModule required
    storeKey=true
    useKeyTab=true
    keyTab="mykeytab.keytab"
principal=HTTP/svc_account.domain.com@DOMAIN.COM;
};

Answer 1

据我所知，在Java7中，可以使用通配符主体principal="*"。

主体名称可以是简单的用户名、服务名称(如host/mission.eng.sun.com )或"*“。

来自：http://www.grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/8-b132/com/sun/security/auth/module/Krb5LoginModule.java#Krb5LoginModule