我有一个环境,其中包含一个 Active Directory、一个 Windows 客户端和一个带有内置 SSH 服务器的 Apache KARAF 以及一个使用 Krb5LoginModule(JAAS)的领域。
我想要做的是向 Active Directory 验证客户端身份,然后使用 Putty 通过 ssh 对 Apache KARAF 进行无密码验证。
我有点好奇,具有单个密钥表文件的 Krb5LoginModule 如何在其单个领域内为多个应用程序提供服务,因为密钥表文件是特定于应用程序的(通过其 SPN),并且到目前为止,我阅读的每个教程都必须在应用程序的配置文件中进行更改。例如,您在密钥表文件中绑定一个 SPN(主机),它为 HTTP 和 SSH 服务提供服务。据我了解,http 服务无法对用户进行身份验证,因为它需要 HTTP 作为 SPN。例如,HTTP 服务器在收到 TGT 后发回协商请求,但在服务器中没有任何配置,因为身份验证已委托给 LoginModule。
提前致谢。
答案1
我部分解决了这个谜题。密钥表文件可以包含多对 Kerberos 主体和加密密钥。
看: