1
การพิสูจน์ตัวตน Kerberos โฮสต์บริการและการเข้าถึง KDC
ฉันมีเว็บแอปพลิเคชัน (ชื่อโฮสต์: service.domain.com) และฉันต้องการใช้การพิสูจน์ตัวตน Kerberos เพื่อระบุผู้ใช้ที่เข้าสู่ระบบโดเมน Windows Microsoft AD (Windows Server 2008 R2) กำลังให้บริการ Kerberos บริการนี้เป็นเว็บแอปพลิเคชัน Java ที่ใช้ไลบรารีส่วนขยาย Spring Security Kerberos เพื่อใช้โปรโตคอล SPNEGO / Kerberos ฉันได้สร้างไฟล์ keytab ใน AD ที่มีความลับที่ใช้ร่วมกันซึ่งน่าจะเพียงพอในการรับรองตั๋ว Kerberos ที่เบราว์เซอร์ไคลเอนต์ส่งมาโดยใช้เว็บแอปพลิเคชัน คำถามของฉันคือ service host (service.domain.com) จำเป็นต้องมีการเข้าถึงไฟร์วอลล์ (TCP / UDP 88) ถึง KDC (kdc.domain.com) หรือเป็นไฟล์ keytab ที่เพียงพอสำหรับโฮสต์บริการเพื่อให้สามารถถอดรหัส ตั๋ว Kerberos และให้การรับรองความถูกต้อง?