authentication - 密钥表的服务映射
问题描述
假设我有一个 HTTP 服务器,它的实例运行在CNAMEvirt01
通过. 我想向它添加 Kerberos 身份验证。virt09
svc01
svc09
认为:
- 我在 AD 域
example.com
- 我的主机 DNS 条目是
host@example.com
- 我的 Kerberos 领域
EXAMPLE.COM
是
从诸如this one之类的答案中,我认为keytab必须包含以下条目:
HTTP/virt01.example.com@EXAMPLE.COM
...
HTTP/virt09.example.com@EXAMPLE.COM
HTTP/svc01.example.com@EXAMPLE.COM
...
HTTP/svc09.example.com@EXAMPLE.COM
为了让浏览器和其他客户端(例如其他非交互式服务)能够对服务器进行身份验证。以上是正确的吗?
如果是,一个后续问题是 - 可以这么说,有没有办法制作“服务别名”,所以我可以在 keytab 中只输入一个条目:
HTTP/svc-alias.example.com@EXAMPLE.COM
不知何故?例如,这是为了能够将服务移动到其他主机,而不必重新生成密钥表并添加新主机和 CNAME。对于本地测试尤其重要。例如,如果在 上进行测试workstation583
,则必须为该工作站创建一个新的 keytab 条目,这确实很不方便。
如果不可能,管理添加/删除主机名的最简单方法是什么?这在实践中如何通过多服务器部署完成以使其易于管理?
任何回答上述任何问题的资源都将受到赞赏。
解决方案
推荐阅读
- kubernetes - 在 Kubernetes/OpenShift 中运行 Kafka Connect Workers 而不通过 REST API 发布配置?
- jsf - JSF 数据表临时变量,用于在每行渲染上调用 bean 上的方法
- java - 在 hbase 中无法识别 dir hdfs://test/apps/hbase/data/lib 的 fs,忽略 java.io.IOException
- tfs - TFS 构建代理输出到控制台
- python - 在 Windows 10 上安装 PIP 时如何解决此错误?
- ubuntu - 在 Ubuntu 上为 mingw 安装 ncurses
- java - 使用 Mockito 模拟结果集
- python - Python在Windows中读取目录时出错
- excel - 如何进行 Vlookup/索引匹配?
- ruby-on-rails - puma systemd 脚本不启动 puma