Kerberos प्रमाणीकरण, सेवा होस्ट और KDC तक पहुँच

मेरे पास एक वेब एप्लिकेशन (hostname: service.domain.com) है और मैं विंडोज डोमेन में लॉग इन करने वाले उपयोगकर्ताओं की पहचान करने के लिए Kerberos प्रमाणीकरण का उपयोग करना चाहता हूं। Microsoft AD (Windows Server 2008 R2) Kerberos सेवा प्रदान कर रहा है।

सेवा SPNEGO / Kerberos प्रोटोकॉल को लागू करने के लिए स्प्रिंग सिक्योरिटी केर्बरोस एक्सटेंशन लाइब्रेरी का उपयोग करके जावा वेब एप्लिकेशन है। मैंने AD में एक कीटैब फ़ाइल बनाई है जिसमें एक साझा रहस्य है जो कि वेब अनुप्रयोगों का उपयोग करके क्लाइंट ब्राउज़र द्वारा भेजे गए करबरोस टिकट को प्रमाणित करने के लिए पर्याप्त होना चाहिए।

मेरा प्रश्न है, KDC (kdc.domain.com) के लिए फ़ायरवॉल एक्सेस (टीसीपी / यूडीपी 88) के लिए आवश्यक सर्विस होस्ट (service.domain.com) है या कीटाब फ़ाइल है जो सर्विस होस्ट के लिए डिक्रिप्ट करने में सक्षम होने के लिए पर्याप्त है करबरोस टिकट और प्रमाणीकरण प्रदान करते हैं?

सेवा कभी नहीं करने के लिए बात करने के लिए की जरूरत है KDC । यह एक जरूरत है keytab द्वारा उत्पन्न KDC , लेकिन आप किसी भी तरह से आप चाहते हैं पर कॉपी कर सकते हैं। उन्हें कभी एक-दूसरे से बात नहीं करनी है।

एक अति सरलीकृत संस्करण जो मुझे लगता है कि इस तरह से कम या ज्यादा हो जाता है:

सेवा स्थापित करना

• KDC एक सर्विस कीटाब बनाता है (जो आपको पसंद है तो गुप्त कुंजी / पासवर्ड जैसा कुछ है)
• यह कीटाब सेवा को किसी तरह प्रदान scpकिया जाता है ( या यदि आप चाहें तो यूएसबी स्टिक पर ले जाया जाता है)

ग्राहक सेवा से जुड़ रहा है

• ग्राहक केडीसी से सेवा टिकट का अनुरोध करता है
• KDC एक सेवा टिकट बनाता है , जिसमें कुछ जानकारी होती है जिसे केवल सेवा कुंजीटैब द्वारा डिक्रिप्ट किया जा सकता है (यह वह फ़ाइल है जो आपके सर्वर पर बैठती है)
• ग्राहक अपनी सेवा भेजता टिकट के लिए सेवा
• सेवा अपने उपयोग करता keytab सत्यापित करने के लिए टिकट (कोई नेटवर्क संचार आवश्यक)