Клиенты Windows, в данном случае браузеры, настроены на игнорирование записей DNS CNAME при создании запросов билетов Kerberos для отправки на KDC.Если у вас есть CNAME, он также разрешает записи A, на которые указывает CNAME, и использует полное доменное имя записи A при создании запроса.Это может быть изменено:
) Мой сценарий похож, но включает средний уровень междуклиентский браузер и серверная часть. Клиент аутентифицируется во внешнем интерфейсе, используя Kerberos, это работает просто отлично, и интерфейсный пользователь делегирует учетные данные клиента внутреннему интерфейсу, используя Kerberos Constrained Delegation, это также работает нормально.
Недавно мы обнаружили проблему с этой конфигурацией. Некоторые из наших внутренних служб находятся за AWS ELB, которые, в свою очередь, имеют CNAMES перед ними, чтобы их можно было повторно развернуть.
Так что теперь вопросявляется: возможно ли изменить поведение клиента Kerberos интерфейсных серверов, чтобы использовать CNAME внутреннего ELB для формирования запроса Kerberos при делегировании учетных данных клиента, так же, как это можно сделать в браузерах?
Некоторые квалификаторы:
- Средний уровень написан на ASP.NET и работает на IIS.
- Мы не можем настроить A rзаписывает в наших зонах DNS указание на внутренние ELB, поскольку они используют функции AWS SDN для настройки нескольких IP-адресов, которые могут изменяться.