我已成功在单个Active Directory域DOMAINA上配置了集成(Spnego/Kerberos)身份验证的Tomcat。
但是,我的公司决定将DOMAINA分成两部分:
DOMAINA与用户DOMAINB提供服务和提供服务的服务器域名受信任。
现在我必须配置Tomcat(和Spnego),它现在在DOMAINB上运行,以验证所有DOMAINA个用户。
有些问题:
DOMAINA或DOMAINB用户?DOMAINB preauth用户,或者我可以将用户名参数配置为DOMAINA\OLDPREAUTHUSER?DOMAINA\OLDPREAUTHUSER或者我现在要为DOMAINB\NEWPREAUTHUSER定义(省略冗余DOMAINB\前缀)?我也改变了krb5.conf:
[libdefaults]
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
permitted_enctypes = rc4-hmac
default_realm = DOMAINA
[领域]
DOMAINA = {
kdc = KDCA
default_domain = DOMAINA
}
DOMAINB = {
kdc = KDCB
default_domain = DOMAINB
}
[domain_realm]
.DOMAINB = DOMAINB
.DOMAINA = DOMAINA
这是对的吗?什么应该是默认域名?
很抱歉,编辑不能很好地格式化代码......
答案 0 :(得分:0)
默认领域是您的计算机所在的位置。即,机器帐户始终绑定到一个且仅一个域。请注意DOMAIN\USER是Windows 2000之前的样式并且已弃用。仅限NTLM中的用户。如果您处理Kerberos,则只处理UPN和SPN。