我有一个Web应用程序(主机名:service.domain.com),并且希望使用Kerberos身份验证来识别登录到Windows域的用户。Microsoft AD(Windows Server 2008 R2)提供Kerberos服务。
该服务是一个Java Web应用程序,使用Spring Security Kerberos扩展库来实现SPNEGO / Kerberos协议。我在AD中创建了一个密钥表文件,其中包含一个共享密钥,该密钥应足以验证客户端浏览器使用Web应用程序发送的Kerberos票证。
我的问题是,服务主机(service.domain.com)是否需要具有对KDC(kdc.domain.com)的防火墙访问权限(TCP / UDP 88),或者密钥表文件足以使服务主机能够解密Kerberos票证并提供身份验证?
该服务不需要在您的设置中访问KDC。客户绝对会。
—
jouell