Проверка подлинности Kerberos, работающая с определенным узлом c, но не с URL-адресом домена: tomcat - PullRequest
Новая
       69

Проверка подлинности Kerberos, работающая с определенным узлом c, но не с URL-адресом домена: tomcat

0 голосов
/ 28 мая 2020

У меня такая проблема, когда моя проверка подлинности Kerberos работает, но когда я переключаюсь с указанного c узла на URL-адрес домена, проверка подлинности прекращается.

Что работает:

krb5.ini: 

[libdefaults]
default_realm=INTL.FUMIGO-INTL.COM
default_keytab_name=FILE:/fumigo02/tomcat/fumigo02.keytab
default_tkt_enctypes=rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
default_tgs_enctypes=rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
forwardable=true
no_addresses=true
dns_lookup_realm=true
dns_lookup_kdc=true

[realms]
INTL.FUMIGO-INTL.COM={
kdc=funigo302win.intl.fumigo-intl.com
default_domain=INTL.FUMIG-INTL.COM
}

[domain_realm]
intl.fumigo-intl.com=INTL.FUMIGO-INTL.COM
.intl.fumigo-intl.com=INTL.FUMIGO-INTL.COM

context. xml

<Realm className="org.apache.catalina.realm.JNDIRealm"
        connectionURL="ldap://funigo302win.intl.fumigo-intl.com"
        userSubtree="true"
        userBase="DC=intl,DC=fumigo-intl,DC=com"
        userSearch="(sAMAccountName={0})"
        userRoleName="memberOf"
        roleBase="OU=FIL_Groups,DC=intl,DC=fumigo-intl,DC=com"
        roleName="cn"
        roleSearch="(member={0})"
        roleSubtree="true"
        roleNested="true"/>

но когда я меняю его на балансировщик нагрузки или URL-адрес домена, он начать выходить из строя с ошибкой:

krb5.ini 

[libdefaults]
default_realm=INTL.FUMIGO-INTL.COM
default_keytab_name=FILE:/fumigo02/tomcat/fumigo02.keytab
default_tkt_enctypes=rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
default_tgs_enctypes=rc4-hmac,aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96
forwardable=true
no_addresses=true
dns_lookup_realm=true
dns_lookup_kdc=true

[realms]
INTL.FUMIGO-INTL.COM={
kdc=kerberoskdc.intl.fumigo-intl.com:88
default_domain=INTL.FUMIG-INTL.COM
}

[domain_realm]
intl.fumigo-intl.com=INTL.FUMIGO-INTL.COM
.intl.fumigo-intl.com=INTL.FUMIGO-INTL.COM

context. xml

<Realm className="org.apache.catalina.realm.JNDIRealm"
        connectionURL="ldap://kerberoskdc.intl.fumigo-intl.com:289"
        userSubtree="true"
        userBase="DC=intl,DC=fumigo-intl,DC=com"
        userSearch="(sAMAccountName={0})"
        userRoleName="memberOf"
        roleBase="OU=FIL_Groups,DC=intl,DC=fumigo-intl,DC=com"
        roleName="cn"
        roleSearch="(member={0})"
        roleSubtree="true"
        roleNested="true"/>

Ошибка, с которой мы столкнулись: Сообщение об ошибке: Сервер не найден в базе данных Kerberos sname ldap / kerberoskd c .intl.fumi go -intl. com@INTL.FUMIGO-INTL.COM

...