Kerberos kimlik doğrulaması, hizmet ana bilgisayarı ve KDC'ye erişim

Bir web uygulamam (hostname: service.domain.com) var ve Windows etki alanında oturum açmış kullanıcıları tanımlamak için Kerberos kimlik doğrulamasını kullanmak istiyorum. Microsoft AD (Windows Server 2008 R2) Kerberos hizmetini sunmaktadır.

Hizmet, SPNEGO / Kerberos protokolünü uygulamak için Spring Security Kerberos uzantı kitaplığını kullanan bir Java web uygulamasıdır. AD'de, web uygulamasını kullanarak istemci tarayıcıları tarafından gönderilen Kerberos biletlerinin kimliğini doğrulamak için yeterli olan paylaşılan bir sır içeren bir keytab dosyası oluşturdum.

Benim sorum, hizmet ana bilgisayarının (service.domain.com) KDC'ye (kdc.domain.com) güvenlik duvarı erişimine (TCP / UDP 88) sahip olması veya hizmet ana makinesinin şifresini çözebilmesi için yeterli keytab dosyası olması Kerberos biletleri ve kimlik doğrulama sağlar?

Hizmet konuşursan gerekiyor asla KDC . KDC tarafından oluşturulan bir keytab'a ihtiyacı vardır , ancak istediğiniz şekilde kopyalayabilirsiniz. Asla birbirleriyle konuşmak zorunda kalmazlar.

İnandığım şeyin aşırı basitleştirilmiş bir versiyonu aşağı yukarı böyle gidiyor:

Hizmetin ayarlanması

• KDC bir hizmet keytab oluşturur (isterseniz gizli anahtar / şifre gibi bir şeydir)
• Bu keytab sağlanır hizmetin bir yol ( scpveya isterseniz bir USB çubuk üzerinde taşınan)

Hizmete bağlanan istemci

• İstemci bir hizmet talep bilet gelen KDC
• KDC , yalnızca hizmet anahtar sekmesi tarafından şifresi çözülebilecek bazı bilgiler içeren bir hizmet bileti oluşturur (bu, sunucunuzda oturan dosyadır)
• İstemci hizmet gönderir bilet için hizmet
• Hizmet onun kullandığı keytab doğrulamak için bilet (hiçbir ağ iletişimi gerekli)