Authentication kerberos:客户端如何知道要向其请求票证的服务名称?
假设客户机希望向HTTP代理验证自己的身份。代理使用kerberos配置,并且在其配置中明确设置了服务名称HTTP/proxy.foo.bar。客户端如何知道向哪个服务名称请求票证?它是向他请求的域名请求票证(在本例中它确实是proxy.foo.bar),还是在本例中的407回复中它收到了身份验证序列中的名称(其中不包含协商挑战,但我不知道是否有办法查看)Authentication kerberos:客户端如何知道要向其请求票证的服务名称?,authentication,single-sign-on,kerberos,http-authentication,spn,Authentication,Single Sign On,Kerberos,Http Authentication,Spn,假设客户机希望向HTTP代理验证自己的身份。代理使用kerberos配置,并且在其配置中明确设置了服务名称HTTP/proxy.foo.bar。客户端如何知道向哪个服务名称请求票证?它是向他请求的域名请求票证(在本例中它确实是proxy.foo.bar),还是在本例中的407回复中它收到了身份验证序列中的名称(其中不包含协商挑战,但我不知道是否有办法查看) 我正在尝试调试代理上的kerberos错误,该代理突然停止了对某些客户端的身份验证。问题是,在Wireshark中,我看到客户机请求的票证不
我正在尝试调试代理上的kerberos错误,该代理突然停止了对某些客户端的身份验证。问题是,在Wireshark中,我看到客户机请求的票证不是针对在代理上配置的服务名称(与他被指示使用的名称相同)HTTP/proxy.foo.bar,而是针对代理IP解析为的名称HTTP/host.foo.bar(好吧,至少它是代理解析的名称,可能是客户端通过其他方式获得的),TGS就是找不到一个,因此发生了错误。所以这里有两个问题(你没有问如何实际解决问题,需要更多细节-请参阅评论)
web上有许多图表对这一过程进行排序,其中包括:默认情况下,Kerberos只信任规范的DNS条目,这可能是DNS中的问题(即burka下的是谁??),与proxy.foo.bar和host.foo.bar关联的IP是相同的还是不同的?