我有两个AD森林,我不希望他们互相信任。我也不希望他们信任任何其他“第三”森林。
我希望使用 Kerberos 身份验证的 Web 服务可供这两个林中的所有用户透明地访问。
我可以在两个林中创建服务帐户,为它们设置 SPN 并创建带有两个“凭据行”的密钥表。
这可能有效吗?我应该有什么特殊的逻辑来支持两个领域的身份验证吗?
是的,只要服务创建的 GSSAPI 接受器上下文不需要任何特定的主体名称。
例如,Apache 的 mod_auth_gssapi 默认不指定接受者名称,并将接受密钥表中任何服务密钥的票证,而(作为非 Web 示例)OpenSSH 的 sshd does 查找特定的“host/
(我不知道Java是做什么的。)