Eu tenho um aplicativo Web (nome do host: service.domain.com) e desejo usar a autenticação Kerberos para identificar usuários que estão conectados a um domínio do Windows. O Microsoft AD (Windows Server 2008 R2) está fornecendo o serviço Kerberos.
O serviço é um aplicativo da Web Java usando a biblioteca de extensão Spring Security Kerberos para implementar o protocolo SPNEGO / Kerberos. Eu criei um arquivo keytab no AD que contém um segredo compartilhado que deve ser suficiente para autenticar tickets Kerberos enviados pelos navegadores clientes usando o aplicativo Web.
Minha pergunta é: é necessário que o host de serviço (service.domain.com) tenha acesso de firewall (TCP / UDP 88) ao KDC (kdc.domain.com) ou é o arquivo keytab suficiente para que o host de serviço possa descriptografar o Tíquetes Kerberos e fornecer autenticação?
fonte
Respostas:
O serviço nunca precisa falar com o KDC . Ele precisa de um keytab gerado pelo KDC , mas que você pode copiar da maneira que desejar. Eles nunca precisam conversar um com o outro.
Uma versão excessivamente simplificada do que acredito continuar é mais ou menos assim:
Configurando o serviço
scp
ou transportado em um pen drive, se você desejar)Cliente se conectando ao serviço
fonte