Можно ли настроить клиентскую библиотеку .NET на использование CNAME для аутентификации Kerberos? - PullRequest
1 голос
/ 05 апреля 2019

Клиенты Windows, в данном случае браузеры, настроены на игнорирование записей DNS CNAME при создании запросов билетов Kerberos для отправки на KDC.Если у вас есть CNAME, он также разрешает записи A, на которые указывает CNAME, и использует полное доменное имя записи A при создании запроса.Это может быть изменено:

) Мой сценарий похож, но включает средний уровень междуклиентский браузер и серверная часть. Клиент аутентифицируется во внешнем интерфейсе, используя Kerberos, это работает просто отлично, и интерфейсный пользователь делегирует учетные данные клиента внутреннему интерфейсу, используя Kerberos Constrained Delegation, это также работает нормально.

Недавно мы обнаружили проблему с этой конфигурацией. Некоторые из наших внутренних служб находятся за AWS ELB, которые, в свою очередь, имеют CNAMES перед ними, чтобы их можно было повторно развернуть.

Так что теперь вопросявляется: возможно ли изменить поведение клиента Kerberos интерфейсных серверов, чтобы использовать CNAME внутреннего ELB для формирования запроса Kerberos при делегировании учетных данных клиента, так же, как это можно сделать в браузерах?

Некоторые квалификаторы:

  • Средний уровень написан на ASP.NET и работает на IIS.
  • Мы не можем настроить A rзаписывает в наших зонах DNS указание на внутренние ELB, поскольку они используют функции AWS SDN для настройки нескольких IP-адресов, которые могут изменяться.
...