Я пытаюсь переместить веб-уровень нашего приложения на Apache на Centos и использовать mod_auth_kerb для аутентификации пользователей AD и автоматического входа их в приложение. Я успешно присоединился к домену и могу успешно выпустить билеты Kerberos для пользователей AD.
У меня проблема в том, что серверная служба приложения работает как локальный пользователь на сервере Windows, а не как пользователь AD, поэтому я не уверен, как сделать правильный keytab для импорта в apache.
Я думал создать такого же пользователя в AD, а затем добавить этому пользователю SPN для HTTP и экспортировать keytab с помощью ktpass. Проблема в том, что администраторы AD хотят избежать создания нового пользователя, так как им нужно получать разрешения и т. Д.
Итак, есть ли способ заставить эту работу работать, не создавая нового пользователя в AD?
Вам не нужно создавать нового пользователя AD; просто добавьте новый субъект-службу с помощью setspn.exe в любую существующую учетную запись и создайте соответствующую вкладку для передачи в Apache. Неважно, какая учетная запись, поскольку ни одной службе Windows не потребуется доступ к ключам; все, что вам нужно, - это добавить принципала в базу данных AD Kerberos, чтобы контроллеры домена выдавали ему билеты. Эта учетная запись AD будет иметь доступ к служебным ключам и может выдавать себя за приложение для пользователей и наоборот, поэтому безопасность учетной записи имеет значение в этом отношении.