我们有一个稍微复杂的 IDAM 设置:
即最终用户的机器和浏览器与父 AD 位于一个网络中,而我们基于 Jetty 的应用程序和它可以与之对话的 AD(本地 AD)位于另一个网络中。
两个 AD 之间存在双向信任。父网络中的浏览器在受信任站点中具有本地域。
Jetty 服务器的设置如下:
- 它使用针对本地 AD 中的主体生成的 keytab 文件
- 它在本地 AD 中定义的用户下作为 Windows 服务运行
- 域、域-域映射和 kdc 是针对本地 AD 的域定义的
- 它使用 spnego - isInitiator 设置为 false;doNotPrompt 为真;storeKey 为真
问题是:
- 作为测试,从本地网络内的浏览器访问服务器(即链接到本地 AD)有效- Kerberos 调试信息出现在日志中,我可以在 HTTP 流量中看到正确的 Kerberos 协商,并且用户自动登录. 杰出的。
但是,从父网络中的浏览器访问服务器(这是我们的用户将如何做的事情)不起作用!浏览器返回 401 unauth,但随后提示输入凭据,输入时会出现空白屏幕。然后单击地址栏并按 Enter 会执行以下两项操作之一,具体取决于凭据是用于远程 AD 还是本地 AD:
- 本地 AD 凭据然后登录正常,在日志中从头开始使用 Kerberos(GET 请求、401 unauth 响应、Kerberos 标头请求等)
- 远程 AD 凭据未登录(GET 请求,401 unauth 响应,看起来像 NTLM 标头
Authorization: Negotiate <60 or so random chars>:)
无论哪种方式,它提示的事实都是错误的!
这些症状有解释吗?我们的设置可以做我们想要的吗?
至于上面的描述可能是错误的:我提到的关于 Jetty 服务器的任何配置都应该是准确的,就像我所做的那样。我很乐意提供更多细节。任何关于 AD 或父网络浏览器的配置都可能是可疑的,因为它不在我的控制之下,而且我已经向我报告了配置,而不是亲自看到它。
如果没有看到数据包捕获,我猜HTTP/www.website.com SPN 需要注册到运行应用程序的帐户。Microsoft 的目录服务团队在以下 URL 上发表了一篇很棒的多部分文章来解决这个主题。
https://blogs.technet.microsoft.com/askds/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1/
从每个环境中的客户端运行数据包捕获(netmon、wireshark)以识别正在查找的 SPN。确定后,使用setspn cmd 将其注册到运行应用程序的帐户。
FWIW,Kerberos 仅在 LAN 上工作。如果有人需要在无法访问域控制器的情况下进行访问,那么您将需要考虑 SSO,例如 Shibboleth 或 ADFS。
编辑:正如@alex-h所提到的,浏览器需要配置为通过 Kerberos 进行静默身份验证。
最后,这是 Microsoft Sharepoint 部署的常见问题。他们希望通过 Kerberos 的 SSO 在用户通过域身份验证后静默发生。因此,如果上述答案不能解决您的问题,请尝试检查他们的论坛,例如:
Chrome、Safari 或 FireFox 上的 Kerberos
请从未启用 NTLM 的浏览器(Chrome/Firefox)尝试第一次。似乎问题在于您启用了预身份验证,并且双向信任可能没有到位。
对于预身份验证,请查看此处https://support.microsoft.com/en-us/kb/2749007和此处https://hc.apache.org/httpcomponents-client-ga/tutorial/html/authentication.html .