Kerberos認証、サービスホスト、およびKDCへのアクセス


10

Webアプリケーション(ホスト名:service.domain.com)があり、Kerberos認証を使用して、Windowsドメインにログインしているユーザーを識別したいと考えています。Microsoft AD(Windows Server 2008 R2)はKerberosサービスを提供しています。

このサービスは、Spring Security Kerberos拡張ライブラリを使用してSPNEGO / Kerberosプロトコルを実装するJava Webアプリケーションです。ADでkeytabファイルを作成しました。これには、Webアプリケーションを使用してクライアントブラウザーから送信されるKerberosチケットを認証するのに十分な共有シークレットが含まれています。

私の質問は、サービスホスト(service.domain.com)がKDC(kdc.domain.com)へのファイアウォールアクセス(TCP / UDP 88)を持っている必要があるか、またはサービスホストがKerberosチケットと認証を提供しますか?


このサービスは、セットアップでKDCにアクセスする必要はありません。クライアントは絶対に行います。
jouell 2015年

回答:


11

サービスは、と話をする必要はありませんKDCKDCによって生成されたキータブが必要ですが、好きな方法でコピーできます。彼らはお互いに話す必要はありません。

私が信じていることの過度に単純化されたバージョンは、多かれ少なかれこのようになります:

サービスの設定

  • KDCはサービスのキータブを生成します(必要に応じて秘密のキー/パスワードのようなものです)
  • このキータブは何らかの方法でサービスに提供されます(scpまたは、必要に応じてUSBスティックで実行されます)

サービスに接続するクライアント

  • クライアントKDCにサービスチケットを要求する
  • KDCはサービスチケットを生成します。サービスチケットには、サービスキータブによってのみ復号化できるいくつかの情報が含まれています(これはサーバー上にあるファイルです)
  • クライアントは、そのサービスに送信チケットをするサービス
  • サービスは、その使用したkeytabを検証するために、チケット(必要なしネットワーク通信)

ありがとう、これはKerberos Wikipediaの記事からも理解できた。この質問の答えは矛盾しているようです:WebサーバーのKerberos認証
StrangeLoop

まあ、他の答えで何が起こったのかはわかりませんが、Kerberosベースの認証を実行する非常にリモートのSSHサーバーがあり、自宅のプライベートLANにあるKDCにアクセスできません。ウェブサーバーで何か奇妙なことが起こっているのでしょうか?多分、私はそれを非常に疑っています。
chutz
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.