Webアプリケーション(ホスト名:service.domain.com)があり、Kerberos認証を使用して、Windowsドメインにログインしているユーザーを識別したいと考えています。Microsoft AD(Windows Server 2008 R2)はKerberosサービスを提供しています。
このサービスは、Spring Security Kerberos拡張ライブラリを使用してSPNEGO / Kerberosプロトコルを実装するJava Webアプリケーションです。ADでkeytabファイルを作成しました。これには、Webアプリケーションを使用してクライアントブラウザーから送信されるKerberosチケットを認証するのに十分な共有シークレットが含まれています。
私の質問は、サービスホスト(service.domain.com)がKDC(kdc.domain.com)へのファイアウォールアクセス(TCP / UDP 88)を持っている必要があるか、またはサービスホストがKerberosチケットと認証を提供しますか?
このサービスは、セットアップでKDCにアクセスする必要はありません。クライアントは絶対に行います。
—
jouell 2015年