Kerberos создает spn и keytabs для включения прокси DNS

Я хочу создать имена участников-служб и вкладки для включения прокси-DNS, чтобы прокси мог пересылать заголовки в серверную часть. Я не уверен, что такое хост, домен и область. Может ли кто-нибудь проверить, нормально ли это выглядит? Или я слишком много добавил example.com?

Прокси-сервер имеет имя сервера, настроенное как testing.example.com. Область - example.com.

setspn -a HTTP / testing.example.com testinghttp

setspn -a HTTP / testing.example.com.example.com testinghttp

ktpass -princ HTTP/[email protected] -pass Password -mapuser example \ testinghttp -crypto ALL -ptype KRB5_NT_PRINCIPAL -out d: \ temp \ key.keytab -kvno 0


proxy kerberos keytab spn
person Plv90    schedule 06.12.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Предполагая, что прокси-сервер находится в том же домене, все, что вам нужно знать, - это URL-адрес прокси-сервера. Используйте этот URL-адрес лица в качестве значения SPN. Предполагая, что URL-адрес вашего прокси-сервера http://testing.example.com, команда setspn -a HTTP / testing.example.com testinghttp верна.

Более того, если вы создаете keytab, вам не нужно выполнять указанную выше команду. SPN, указанный в ktpass (который является URL-адресом прокси-лица), автоматически прикрепляется к данному пользователю. Также UPN пользователя изменится на это значение SPN.

Прокси будет (он должен) перенаправить запрос «как есть» (со всеми заголовками) на конечный узел / сервер. На принимающей стороне (сервере) вам необходимо принять билет, указанный в заголовке Negotiate. Для этого вы должны использовать keytab (и его пароль), сгенерированный выше.

person Bhushan Karmarkar    schedule 12.12.2019