Я пытаюсь настроить единый вход на основе SPNEGO (аутентификация Kerberos, упакованная в заголовки HTTP), чтобы разрешить клиентам Windows в домене, где контроллеры AD запускают SAMBA4 поверх Ubuntu для доступа к веб-серверам Linux.
Целевые HTTP-серверы, конечно, находятся в другом домене DNS, чем домен AD. Скажем, домен AD DNS clients.mycompany.com (Домен AD представляет собой CLIENTS), а серверы находятся в servers.mycompany.com.
Я знаю, что стандартным способом является установка области Kerberos для servers.mycompany.com и настроить односторонние доверительные отношения между двумя сферами, за исключением того, что я нашел тонны (ну, некоторые ...) документов о том, как устанавливать доверительные отношения между настоящими доменами Microsoft AD, между настоящими областями Kerberos, но мало по доверительным отношениям между AD и Kerberos, все последние категории упоминают подводные камни.
Мне было интересно, можно ли напрямую зарегистрировать SPN для HTTP/www.servers.mycompany.com в области CLIENTS.MYCOMPANY.COM, обслуживаемой SAMBA? Если выглядит проще для обычного администратора (кто я на самом деле) ...
Я знаю, что могу просто попробовать, но поскольку я не очень разбираюсь в администрировании Samba, я могу потерпеть неудачу, пока другие уже добились успеха, или заставить его работать случайно, пока он сломается при следующем обновлении любой из задействованных систем, поэтому вопрос.