Question

Я пытаюсь настроить JBoss Negotiation на компьютере UNIX в Microsoft Active Directory по этой ссылке https://community.jboss.org/wiki/ConfiguringJBossNegotiationInAnAllWindowsDomain?_sscc=t

ktpass -princ HTTP/10.222.105.36@DEG01.DEV -pass * -mapuser spnego@DEG01.DEV 
ktab -k c:/service.keytab -a HTTP/10.222.105.36@DEG01.DEV

но я получаю ошибку

Client not found in Kerberos database (6)

Может ли кто-нибудь подтвердить, что IP-адрес моей машины с Unix должен быть определен в Active Directory?

Спасибо за вашу помощь

Yves Martin · Answer 1 · 20 марта 2012

Да, для работы аутентификации Kerberos необходимо наличие правильных записей DNS и обратных DNS для имен хостов и IP-адресов.

Цель этого ограничения - привлечь дополнительный уровень в группу безопасности.но многофункциональный ActiveDirectory немного нарушает эту идею.

Для проверки вашей настройки вы можете использовать инструменты командной строки Kerberos (MIT или Heimdal) в Unix:

справильный /etc/krb5.conf и набор областей по умолчанию
kinit user выполняет аутентификацию на основе пароля
kvno HTTP/yourIP получает TGS для этого SPN
kvno HTTP/yourhost.yourdomain.com, если у вас естьзарегистрированные альтернативные имена участников-служб с setspn -a
klist -ef для просмотра билетов TGT и TGS в кэше с флагами и шифрованием
kdestroy для очистки кэша пользователя
kinit -k -t service.keytab HTTP/yourIP для проверки подлинности на основе keytab

Конфигурирование JBoss Negotiation на машине UNIX

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.