У нас есть сервер tomcat, использующий kerberos spring -security для аутентификации пользователей на веб-странице в активном каталоге.
Существует около 25 контроллеров домена.
На сайте есть два псевдонима DNS на основе CNAME.
В настоящее время на сайте есть один идентификатор службы с именами SPN, зарегистрированными для записи A DNS, а также для каждого CNAME.
Пока все работает, я не знаю, как надежно изменить эту конфигурацию без возможных простоев.
Причина в том, что клиенты кешируют билеты Kerberos:
http://www.juniper.net/techpubs/en_US/uac4.2/topics/concept/user-role-active-directory-about.html
Программа kerbtray.exe полезна для просмотра и удаления билетов Kerberos на конечной точке. Старые билеты должны быть удалены из конечной точки, если SPN обновлены или пароли изменены (при условии, что конечная точка все еще имеет кэшированную копию билета из предыдущего запроса SPNEGO на устройство серии MAG. Во время тестирования вы должны очищать билеты перед каждым запросом аутентификации .
Описание программы "klist" для проверки / удаления кешированных билетов: http://technet.microsoft.com/en-us/library/hh134826.aspx
Итак, если у каждого из клиентов (пользователей, работающих под управлением Windows), которые подключаются к моему веб-серверу, есть билеты Kerberos, которые становятся недействительными, как только я обновляю SPN или пароли, как я могу гарантировать, что изменения будут плавными? Есть ли какие-то операции, которые можно выполнять безопасно? Я не могу просто попросить всех пользователей установить klist и удалить свои старые билеты.
Стратегия для этого на стороне Unix будет заключаться в том, чтобы сохранить как старые, так и новые копии ключа в keytab для службы. Kerberos хранит номера версий на ключах, а библиотеки Kerberos проверят вкладку ключей на предмет правильной версии для использования при предъявлении билета службы.
У вас может быть только одна версия ключа в KDC, но пока и старая, и новая версии ключа находятся на вкладке ключей на сервере, ваши клиенты не должны видеть сбоев в обслуживании. Если вы можете объяснить, как установить keytab для службы, я, вероятно, могу что-то предложить.
Возможно, вам следует протестировать добавление SPN вместо изменения существующего SPN. Участники безопасности могут иметь несколько SPN.