Kerberos 인증, 서비스 호스트 및 KDC에 대한 액세스

10

웹 응용 프로그램 (호스트 이름 : service.domain.com)이 있고 Kerberos 인증을 사용하여 Windows 도메인에 로그인 한 사용자를 식별하려고합니다. Microsoft AD (Windows Server 2008 R2)가 Kerberos 서비스를 제공하고 있습니다.

이 서비스는 Spring Security Kerberos 확장 라이브러리를 사용하여 SPNEGO / Kerberos 프로토콜을 구현하는 Java 웹 애플리케이션입니다. 웹 응용 프로그램을 사용하여 클라이언트 브라우저에서 보낸 Kerberos 티켓을 인증하기에 충분한 공유 암호가 포함 된 키탭 파일을 AD에 만들었습니다.

내 질문은 서비스 호스트 (service.domain.com)가 KDC (kdc.domain.com)에 대한 방화벽 액세스 (TCP / UDP 88)가 필요하거나 서비스 호스트가 암호를 해독 할 수있을만큼 키 탭 파일인지 Kerberos 티켓과 인증을 제공합니까?

active-directory  firewall  kerberos  springframework 
이상한 루프
소스
서비스는 설정에서 KDC에 액세스 할 필요가 없습니다. 고객은 절대적으로합니다.
jouell

답변:

11

서비스를 받는 이야기 할 필요가 없다 KDC . KDC에 의해 생성 된 키탭 이 필요 하지만 원하는 방식으로 복사 할 수 있습니다. 그들은 서로 대화 할 필요가 없습니다.

내가 생각하는 것의 지나치게 단순화 된 버전은 다음과 같습니다.

서비스 설정

  • KDC 는 원하는 경우 비밀 키 / 비밀번호와 같은 서비스 키 탭을 생성합니다.
  • 키탭 은 어떤 식 으로든 서비스에 제공됩니다 ( scp또는 원하는 경우 USB 스틱에 장착)

서비스에 연결하는 클라이언트

  • 클라이언트KDC 에서 서비스 티켓 을 요청 함
  • KDC 는 서비스 티켓을 생성하는데 , 여기에는 서비스 키탭 (해당 서버에있는 파일)으로 만 해독 할 수있는 일부 정보가 포함됩니다
  • 클라이언트 의 서비스 전송 티켓을 받는 서비스
  • 서비스 의 이용 키 테이블을 검증하기 위해 티켓을 (어떤 네트워크 통신 필요 없음)
처츠
소스
감사합니다. Kerberos Wikipedia 기사에서이 내용을 이해했습니다. 이 질문에는 모순적인 답변이있는 것 같습니다 : 웹 서버에 대한 Kerberos 인증
StrangeLoop
글쎄, 그 다른 대답에서 무슨 일이 있었는지 모르겠지만 Kerberos 기반 인증을 수행하는 매우 원격 SSH 서버가 있으며 집의 개인 LAN에있는 KDC에 액세스 할 수 없습니다. 웹 서버에 이상한 일이있을 수 있습니까? 어쩌면 그러나 나는 그것을 의심합니다.
chutz December
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.