多台服务器上一个 FQDN 的 Kerberos SPN

多台服务器上一个 FQDN 的 Kerberos SPN

这有点奇怪。我正在构建一个托管在 LAMP 堆栈上的新 Web 服务器来替换旧的 IIS 服务器。其预期的 DNS 名称目前被旧服务器占用。我已为新服务器设置了 SSL 证书,并准备好了将 DNS 移过来的配置,但我希望提前在主机上设置 SPN/TGT (HTTP/{fqdn}@{domain})。我可以使用单独的服务帐户来维护它,问题是 FQDN 目前已被占用。

在 LAMP 主机上创建该 SPN 是否会剥夺 IIS 主机通过 kerberos 验证用户的能力?

答案1

事实上,除非将相同的 SPN 从旧主体中删除,否则无法将其与新主体关联。如果您有机会说服 AD 将其复制到多个主体,那么您在尝试获取 Kerberos 票证时会得到奇怪的结果。根据多种因素,它会选择原始凭证、新凭证,或者只是因为找到了两者而放弃。

所以,不要这么做。我的建议是,在停用旧服务器之前,将新服务视为唯一服务。

相关内容