У нас есть приложение, которое развертывается на Tomcat. Приложение поддерживает три метода аутентификации: Kerberos (через SPNEGO), Mutual TLS (т. Е. Клиент-сертификат) и имя пользователя и пароль. При аутентификации через Kerberos или Mutual TLS приложение получает аутентифицированного пользователя через request.getUserPrincipal () . Все это прекрасно работает, когда приложение развернуто как один экземпляр, и пользователи подключаются к нему напрямую.
Мой вопрос: что является лучшим способом заставить это работать за балансировщиком нагрузки? Мы бы хотели, чтобы это решение не зависело от типа балансировщика нагрузки, поскольку разные клиенты могут захотеть использовать разные балансировщики нагрузки. Является ли наилучшим подходом настроить балансировщики нагрузки как сквозные (и чтобы экземпляр Tomcat выполнял TLS вместо завершения этого на балансировщике нагрузки) или есть другой подход, который мы должны рассмотреть? Полезно ли здесь делегирование Kerberos?