少し複雑なIDAM設定があります。
つまり、エンドユーザーのマシンとブラウザは親ADのあるネットワークにあり、Jettyベースのアプリケーションとそれが通信できるAD(ローカルAD)は別のネットワークにあります。
2つのADの間には双方向の信頼があります。親ネットワークのブラウザは、信頼済みサイトにローカルドメインを持っています。
Jettyサーバーの設定は次のとおりです。
- ローカルADのプリンシパルに対して生成されたキータブファイルを使用する
- ローカルADで定義されたユーザーの下でWindowsサービスとして実行されている
- レルム、ドメイン-レルムマッピング、およびkdcは、ローカルADのドメインに対して定義されます
- それはspnegoを使用します-isInitiatorはfalseに設定されます。doNotPromptはtrueです。storeKeyはtrueです
問題は:
- テストとして、(すなわちローカルADにリンクされている)、ローカルネットワーク内のブラウザからサーバーにアクセスすると動作します私は、HTTPトラフィックに正しいKerberosのネゴシエーションを見ることができ、Kerberosのデバッグ情報がログに表示され、ユーザーは自動的に署名されています- 。鮮やかさ。
ただし、親ネットワーク内のブラウザーからサーバーにアクセスする(これは、ユーザーが操作する方法です)ことができません。ブラウザは401 unauthを取得しますが、資格情報を要求します。資格情報を入力すると、空白の画面が表示されます。次に、アドレスバーをクリックしてEnterキーを押すと、資格情報がリモートADとローカルADのどちらであるかに応じて、次のいずれかが行われます。
- ローカルADの資格情報は、ログに最初からKerberosを使用して正常にログインします(GET要求、401非認証応答、Kerberosヘッダー要求など)
- リモートADの資格情報がログインしていない(GETリクエスト、401 UNAUTH応答は、何がNTLMヘッダーのようになります。
Authorization: Negotiate <60 or so random chars>)
いずれにせよ、それが促しているという事実は間違っています!
これらの症状の説明はありますか?私たちが持っているセットアップは私たちが望むことをすることができますか?
上記の説明については何が間違っている可能性があるかについては、私が行ったように、Jettyサーバーに関して述べた構成はすべて正確である必要があります。詳細をお知らせいたします。ADまたは親ネットワークブラウザーのいずれかに関する構成は疑わしい可能性があります。これは、私の制御下になく、自分で確認するのではなく、報告された構成を持っているためです。
_kerberos._tcp.OurITOrgDomainおよび_kerberos._tcp.partentdomainのdns結果にリストされているサーバーのブラウザー間でTCP / 88が開いていますか?Jettyサーバーで認証する必要がある資格情報を使用して、マシン「ブラウザ」からkinitを実行できますか?
—
ジェイコブエヴァンス
roguelynn.com/words/explain-like-im-5-kerberosは、ファイアウォールが問題を引き起こしている可能性のある点に光を当てるかもしれません(再び、クライアントから両方のDCに88)
—
Jacob Evans
変数が多すぎて、ネットワークキャプチャを行わずに詳細なステップバイステップの説明を行うことはできません。次に、SPNが適切にセットアップされているかどうか、またはブラウザーがサイレント認証を行うように構成する必要があるかどうかをすぐに確認できます。
—
user2320464