我们是否需要所有 AD 用户的密钥表条目以进行基于 kerberos 的身份验证?
Do we require a keytab entry for all AD users for kerberos based authentication?
我在 jboss 上部署了一个 Web 应用程序。到目前为止,我们已经实现了 https://www.jcifs.org/ 提供的 NTLMHttpFilter。由于此 java 过滤器仅支持 NTLMV1,现在我需要将我的身份验证更新为基于 kerberos 的身份验证以支持使用 spnego 的 kerberos,但我仍然不确定,我是否必须为所有现有应用程序用户生成一个密钥表文件。如果是,我如何在每次用户更新其 windows 密码时更新 keytab 密码?另外,请让我知道服务帐户和用户帐户的密钥表位置?我的目的是使用集成的 windows 身份验证提供无提示的 sso 功能。
您只需要为您的应用程序的服务帐户提供一个密钥表文件,而不是为每个用户都需要。用户从 KDC 请求应用程序的服务票证。
我在 jboss 上部署了一个 Web 应用程序。到目前为止,我们已经实现了 https://www.jcifs.org/ 提供的 NTLMHttpFilter。由于此 java 过滤器仅支持 NTLMV1,现在我需要将我的身份验证更新为基于 kerberos 的身份验证以支持使用 spnego 的 kerberos,但我仍然不确定,我是否必须为所有现有应用程序用户生成一个密钥表文件。如果是,我如何在每次用户更新其 windows 密码时更新 keytab 密码?另外,请让我知道服务帐户和用户帐户的密钥表位置?我的目的是使用集成的 windows 身份验证提供无提示的 sso 功能。
您只需要为您的应用程序的服务帐户提供一个密钥表文件,而不是为每个用户都需要。用户从 KDC 请求应用程序的服务票证。