我有一个 Keycloak,它有 2 个不同的 LDAP 提供程序,包括 Kerberos 身份验证。提供程序 A 具有第一优先级,提供程序 B 具有第二优先级。两个提供程序设置都提供了不同的 Kerberos 领域。
我们正在讨论两个具有域信任的 AD(如果有任何区别的话)。
使用用户名/密码登录对于两个提供商来说都非常方便。
使用 kerberos 票证登录仅适用于优先级为 1 的提供商 A。尝试使用提供商 B 的用户登录会触发向用户机器授予成功票证,但在 keycloak 身份验证时失败。
WARN [org.keycloak.federation.kerberos.impl.SPNEGOAuthenticator] (executor-thread-102) SPNEGO login failed: java.security.PrivilegedActionException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
keycloak 尝试使用提供商 A(优先级 1)的 kerberos 凭据登录提供商 B 的用户并失败,但不再尝试提供商 B。
如果提供商 A 和 B 切换优先级,则用户 B 可以使用票证登录,但用户 A 会失败并显示完全相同的错误消息。
有没有办法告诉 keycloak 尝试两个 Kerberos 领域?