Active directory 在windows服务器上使用Kerberos进行SSO安装_Active Directory_Single Sign On_Windows Authentication_Kerberos_Ntlm

Active directory 在windows服务器上使用Kerberos进行SSO安装

active-directory single-sign-on

Active directory 在windows服务器上使用Kerberos进行SSO安装,active-directory,single-sign-on,windows-authentication,kerberos,ntlm,Active Directory,Single Sign On,Windows Authentication,Kerberos,Ntlm,我是SSO新手，我们有一个应用程序使用kerberos SSO的java实现。现在我们需要将应用程序迁移到其他机器上。我需要知道在以下方面需要进行哪些更改： 1.Active directory中用于身份验证的服务帐户。 2.键表文件 3.可以使用相同的AD原则名称，也可以要求使用新名称请协助执行需要遵循的适当步骤。谢谢你的帮助！谢谢。如果您在广告中使用服务帐户，我预计不会有太大变化：此服务的DNS记录将keytab移动到新服务器如果正在使用计算机帐户，则您需要：重新配置DN

我是SSO新手，我们有一个应用程序使用kerberos SSO的java实现。现在我们需要将应用程序迁移到其他机器上。我需要知道在以下方面需要进行哪些更改： 1.Active directory中用于身份验证的服务帐户。 2.键表文件 3.可以使用相同的AD原则名称，也可以要求使用新名称

请协助执行需要遵循的适当步骤。谢谢你的帮助！

谢谢。

如果您在广告中使用服务帐户，我预计不会有太大变化：

此服务的DNS记录
将keytab移动到新服务器

如果正在使用计算机帐户，则您需要：

重新配置DNS
从当前计算机帐户中删除SPN
为新机器生成keytab

谢谢你的工程师…….我认为windows server 2008 r2也不强制使用keytab键？我在没有keytab文件的情况下让它工作。没有keytab，您的服务器无法确保Kerberos服务器不是伪造的。我不确定您的Kerberos实现，但MIT Kerberos有一个选项“verify_ap_req_nofail”，如果设置为true，将强制Kerberos客户端检查服务器。