Spnego跨域配置

Question

我成功地在一个Active域( DOMAINA )上配置了一个带有集成(DOMAINA)身份验证的Tomcat。

然而，我的公司决定将DOMAINA分成两部分：

• DOMAINA与用户
• 提供服务和服务器的DOMAINB

域是可信的。现在我必须配置Tomcat (和Spnego)，它现在正在DOMAINB上运行，以对所有DOMAINA用户进行身份验证。

一些问题：

• 前置用户应该是DOMAINA用户还是DOMAINB用户？
• 让我请求一个新的原生DOMAINB预用户，或者我可以将用户名参数配置为DOMAINA\OLDPREAUTHUSER
• SPN应该如何调整？使用DOMAINA\OLDPREAUTHUSER，还是让我现在为DOMAINB\NEWPREAUTHUSER定义(省略冗余DOMAINB\前缀)？
• 我还更改了krb5.conf的缺省值。 default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac permitted_enctypes = rc4-hmac default_realm = DOMAINA 王国 DOMAINA ={ kdc = KDCA default_domain = DOMAINA } DOMAINB ={ kdc = KDCB default_domain = DOMAINB } domain_realm .DOMAINB = DOMAINB .DOMAINA = DOMAINA

这是正确的吗？默认的域应该是什么？

抱歉，但是编辑器不能很好地格式化代码.

Answer 1

默认领域是您的计算机所在的位置。也就是说，机器帐户总是绑定到一个并且只有一个域。请注意，DOMAIN\USER是Windows2000之前的样式，不推荐使用.只在NTLM中使用。如果您处理Kerberos，则只处理UPN和SPN。