Jconsole で使用される Jaas を使用して Kerberos ログイン モジュールを構築しています。
Jconsole は、公開された MBean を持つプロセスにアクセスするために使用されるクライアントになり、kerberos loginmodule はユーザーを認証します。
ユーザーは Jconsole 経由でログインし、Jconsole はユーザー データを loginmodule に渡します。ユーザー名とパスワードは Kerberos loginmodule によって処理され、ユーザーの資格情報は中央の Active Directory に対して検証されます。
これを Kerberos 用に構成する際に問題が発生しています。つまり。これには SPN の設定が必要ですか? それとも、単一の KeyTab セットアップのみが必要ですか?
コンソールでユーザー名とパスワードを要求する場合は、keytab も SPN も必要ありません。必要なのは、パスワードを要求する JAAS のプラグインだけです。Kerberos セッションが JAAS ログイン モジュールで開始され、アプリ内で TGT が使用されます。
一方、ユーザーからの既存の kerberos セッション (現在の Windows ドメイン セッション) を受け入れる予定の場合は、Active Directory に SPN が必要であり、ユーザーはアプリケーションによってパスワードの入力を求められません。
キータブは kerberos データベースに保存されているキーの単なるコピーです。キータブを生成するには常に SPN が必要です。ただし、逆は当てはまりません。SPN パスワードを指定することで、Active Directory からセッション キーを取得できます。