Active directory 是否将SPN与JAAS中的Kerberos登录模块一起使用

我正在用Jaas构建一个Kerberos登录模块，Jconsole将使用该模块

Jconsole将是用于访问具有公开MBean的进程的客户端，kerberos loginmodule将对用户进行身份验证

用户将通过Jconsole登录，Jconsole将用户数据传递给loginmodule，然后由Kerberos loginmodule处理用户名和密码，并根据中央active directory验证用户凭据

---

我对Kerberos的配置有问题。就是。这是否需要设置SPN？或者它只需要设置一个KeyTab？

如果您在控制台上向用户询问用户名和密码，则不需要KeyTab或SPN。您所需要的只是JAAS的一个插件，它将询问密码。Kerberos会话将作为JAAS登录模块启动，您的应用程序中将有TGT

另一方面，如果您计划接受来自用户的现有kerberos会话（他们当前的Windows域会话），那么您确实需要在active directory中具有SPN，并且应用程序不会提示用户输入密码

---

keytab只是存储在kerberos数据库中的密钥的副本，您总是需要SPN来生成keytab。但是converse不是真的，您可以通过提供SPN密码从active directory获取会话密钥。

因此，如果我有active directory，并且想要使用krb5loginmodule。我将使用jconsole收集用户名和密码。这将传递给loginmodule，loginmodule将其传递给回调。然后，回调查询该广告，以获取该用户的登录详细信息。但是我们在什么阶段验证密码呢？从未使用过JConsole。与JAAS捆绑在一起的标准JAAS回调使用STDIN/STDOUT请求用户名和密码。您可以使用此模板编写自己的回调。我不需要像oracle jass教程中所示配置kerberos领域和kdc：是的，您确实需要配置它。您可以通过JAAS-config进行配置，在某些操作系统上，您可以使用系统范围的配置，也可以为JVM设置适当的系统属性。