浏览器如何知道在kerberos中联系哪个KDC？

Question

我是Kerberos的新手，我不确定浏览器如何知道如何联系哪个KDC来获取HTTP服务的票证？

例如，我有一个运行在www.xyz.example.com上的应用程序(SPNEGO)，我的领域是example.com (我有一个linux服务器作为KDC服务器)，将创建什么SPN，浏览器如何联系KDC？

Answer 1

浏览器如何知道要联系哪个KDC来获取HTTP服务的票证？

浏览器从不直接联系KDC。相反，它依赖于由操作系统维护的票证缓存。如果在缓存中找不到指定服务的票证，则操作系统将与KDC连接，并将新票证放入缓存中，浏览器可以从缓存中获取它。

将创建什么SPN，浏览器将如何联系KDC？

SPN的通用格式为<service class>/<host>:<port>/<service name>。如果您的web应用程序在xyz.example.com上运行，则SPN的格式通常(不一定)为HTTP/xyz.example.com

SPN不会自动定义。管理员必须在生成密钥表时注册SPN。