个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我想通过 KERBEROS 保护我的 Java Web 应用程序。有谁知道执行此操作需要什么以及如果我当前的用户存储在 MySQL 数据库中,我需要对我的应用程序进行多少更改?有必要使用VPN吗?如果我理解正确,每个客户端都通过同一域中的 KDS 进行身份验证,但我的应用程序位于远程服务器上(不在同一域中?)。
最佳答案
您必须向我们提供有关您的应用和环境的更多详细信息。 kerberos 的作用是为用户提供一种方法来证明他确实是他所声称的那个人。 (可选)您可以验证他是否来自他声称来自的 IP 地址,尽管由于 NAT/代理/负载均衡器,后来很少有用户。
您的应用程序在什么容器中运行?大多数现代 servlet 容器(JBoss/Websphere)都提供开箱即用的 kerberos 身份验证。您只需要调整您的 web.xml,或者如果是 websphere,只需正确配置应用程序即可。
您是否有适当的 kerberos 基础设施?如果您处于具有 Active Directory 域 Controller 的企业 Windows 环境中,那么您已经这样做了。在这种情况下,您需要将工作站配置在域中。最简单的情况是,如果您的工作站是域的成员,并且 Activity 目录 Controller 也是您的 DNS 服务器,并且您的应用程序在本地域中运行,并且您的浏览器是 IE 或 Chrome。否则你需要做一些额外的配置。
VPN 不是必需的,但如果你有的话,事情会稍微简化一些。
至于您的域问题,尤其是 Windows 管理员对于域的实际含义存在很多困惑。域可以是像 stackoverflow.com 这样的 DNS 域,而域可以是完全不同的 Active Directory 域。在经典 Unix kerberos 中,kerberos 域称为 REALM,并且有一个配置文件将 DNS 域映射到 Kerberos 领域。
您的应用可以位于您想要的任何 DNS 域中,也可以位于任何 Active Directory 域中,但在这种情况下,不同域之间必须建立信任关系。
最重要的是,您至少必须配置两件事。 DNS 服务器必须有 SRV 记录,以便浏览器可以找到 KDC 服务器。并且您必须在 KDC 中注册您的应用程序。
更多详情谷歌查看here :
关于由 KERBEROS 保护的 Java 应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23969086/
24
4
0
我已经开始配置 kerberos。 谁能解释我们在 krb5.conf 文件中设置的票证生命周期和更新生命周期。 ticket_lifetime = 2d renew_lifetime = 7d 是
kerberos 只加密身份验证过程还是所有客户端通信? 我的印象是它就像 LAN 的 VPN。 以便所有 LAN 通信都被加密。就像所有互联网通信都通过 VPN 加密一样。 问候奥布里 最佳答案 K
我试图弄清楚kerberos身份验证是如何工作的,但我发现的信息总是缺少一些东西,就好像其中的一部分被认为是理所当然的。我大致了解该过程,但缺少一些细节。 获取 TGT: 首先,用户应从 KDC 获取
是否可以进行可选的 kerberos 身份验证? 我想要的是:如果客户端(浏览器)不在域中,它被重定向到用户名/密码网络登录。否则它会做 SPNEGO 做 Kerberos 认证。 有什么解决办法吗?
目前正在寻找使用 AD 的联合服务器。首先想到的是使用 ADFS 来管理跨域和领域的服务请求。也就是说,应用程序必须有权访问特定用例的 Kerberos 票证。 AD FS 是否在任何时候使用 Ker
我们想通过 Polybase 将我们的 SQL Server 2016 Enterprise 与我们的 Kerberized OnPrem Hadoop-Cluster 和 Cloudera 5.14
哪个性能测试工具支持带有 Kerberos 身份验证的网页? 仅仅回退到 NTLM 的工具是不够的。 最佳答案 我做了一些研究,可用工具列表是: Visual Studio 2010 Load tes
据我了解, SPN 是 Windows 服务的身份验证工具。 Kerberos 是一个用户认证服务 SPNEGO-GSSAPI 是第三方 API能够使用这些服务。 SSPI:是发送的中立层从 SPNE
我知道中央身份验证服务(CAS)和Kerberos都可以用于对建立 session 进行身份验证。这两种协议(protocol)至少涉及三方,并且将创建票证授予票证持续时间身份验证,那么CAS之间有哪
是否可以进行可选的 kerberos 身份验证? 我想要的是:如果客户端(浏览器)不在域上,它将被重定向到用户名/密码 Web 登录。否则它将执行 SPNEGO 执行 Kerberos 身份验证。 如
在我的 Kerberos 系统中: 运行 kinit test并输入 passwd ,成功。 通过 kadmin.local -q "xst -k test.keytab test" 生成 key 表
如何从 NIFI 连接到启用 Kerberos 的 Kudu? 我只看到一个处理器可以访问 Kudu - PutKUDU 并且它不支持 Kerberos。我没有在网上看到任何有关使用 Kerberos
我正在处理与数据库的 kerberized 连接。我想我了解kerberization的基础知识。用户请求KDC的“Authentication Server”部分获取TGT(Ticket Grant
情况如下: 我在 Windows 7 上使用 MIT Kerberos 客户端 kfw 4.0.1 执行此操作。我正在通过 OpenVPN 连接到使用 Kerberos 5 保护的 YARN 集群。这
我在我的机器上使用 MIT kerberos 5 对用户进行身份验证。这会将票证授予用户。我想将票的 maxlife 重置超过 24 小时。默认情况下,kerberos 票证的最长生命周期为 24 小
我最近提出了一个问题,涉及我在让 MIT Kerberos 与 Microsoft 的 LSA 凭据缓存良好配合时遇到的一些问题。 有人告诉我,设置注册表项 AllowTGTSessionKey 应该
我确实有一个具有 KERBEROS 安全性的 Hadoop 集群和另一个没有 KERBEROS 的 Hadoop 集群。 我可以将文件从 KERBEROS hadoop 集群复制到非 KERBEROS
这来自 Kerberos 示例应用程序,位于 https://github.com/spring-projects/spring-security-kerberos/tree/master/sprin
我正在尝试在启用 Kerberos 身份验证的安全模式下设置单节点 Hadoop 集群,使用 hadoop-2.4.0和 jdk1.7.0_25 . 为此,我按照文档中的描述创建了 key 表文件。在
最近使用 Kerberos 安装 samba 共享停止工作。在另一台服务器上具有相同挂载选项的相同共享有效。所以我假设我们的 DNS 设置和/或 Active Directory 设置没有任何问题。似
我是一名优秀的程序员,十分优秀!