Я пытаюсь настроить вход через Kerberos с помощью Keycloak (WildFly 11), сервер установлен в Windows 2016 и имеет MIT Kerberos, выступающий в качестве клиента Kerberos, домены являются активными каталогами.
У меня естьЯ сгенерировал файл keytab из домена ABC, и я могу войти в систему, используя Kerberos, с пользователями из этого домена (SPN - HTTP/url.com@ABC).Файл keytab создается с использованием пользователя в домене ABC, но я добавил еще одно имя участника-службы из домена XYZ (HTTP/url.com@XYZ).У меня есть другой домен, XYZ, который имеет доверительные отношения с ABC.Пользователи из этого домена не могут войти в систему, используя Kerberos, поскольку согласование выдает эту ошибку «KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN».
Я предполагаю, что проблема заключается в том, что пользователи из ABC согласовывают заявки с доменом ABC, и в этом домене правильно задан SPNи пользователи из XYZ ведут переговоры о билетах с доменом XYZ, и в этом домене нет настроенного имени участника-службы.
Это конфигурация клиента MIT Kerberos:
[realms]
ABC = {
kdc = abcdom:88
admin_server = abcdom:749
default_domain = ABC
}
XYZ = {
kdc = xyzdom:88
admin_server = xyzdom:749
}
[domain_realm]
.url.com = ABC
url.com = ABC
.url.com = XYZ
url.com = XYZ
Мой вопрос: сделатьЯ должен сгенерировать файл keytab для каждого домена?Как добавить SPN в домен XYZ?Между доменами существует взаимное доверие.