単一のActiveDirectoryドメインで統合(Spnego / Kerberos)認証を使用してTomcatを正常に構成しましたDOMAINA。
しかし、私の会社DOMAINAは2つに分割することにしました。
DOMAINAユーザーとDOMAINBそれらを提供するサービスとサーバーで
ドメインは信頼されています。次に、Tomcat(およびSpnego)を構成する必要があります。これは、DOMAINBすべてのユーザーを認証するために実行されていDOMAINAます。
いくつかの質問:
- preauthユーザーは
DOMAINAまたはDOMAINBユーザーである必要がありますか? - 新しいネイティブ事前認証ユーザーを要求する必要がありますか、それとも
DOMAINBユーザー名パラメーターを次のように構成できますDOMAINA\OLDPREAUTHUSERか? - SPNをどのように調整する必要がありますか?(冗長プレフィックスを省略して)
DOMAINA\OLDPREAUTHUSER今すぐ定義する必要がありますか?DOMAINB\NEWPREAUTHUSERDOMAINB\ 私も変更しました
krb5.conf:[libdefaults]
default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac permitted_enctypes = rc4-hmac default_realm = DOMAINA[レルム]
DOMAINA = { kdc = KDCA default_domain = DOMAINA}
DOMAINB = { kdc = KDCB default_domain = DOMAINB}
[domain_realm]
.DOMAINB = DOMAINB .DOMAINA = DOMAINA
それが正しいか?デフォルトのドメインは何ですか?
申し訳ありませんが、エディターはコードをうまくフォーマットしません...