Вам нужно разместить только одну клавиатуру на сервере приложений, чтобы успешно выполнять аутентификацию SSO Kerberos, а не несколько. Когда пользователи обращаются к службе с включенной поддержкой Kerberos, они получают билет Kerberos для этой службы из KDC. Keytab на сервере приложений расшифровывает содержимое этого билета, потому что внутри keytab - это представление службы, запущенной на сервере приложений, к которому требуется доступ, полное доменное имя сервера приложений и имя домена Kerberos, которое будет соблюдать аутентификацию попытку и криптографический хеш принципала обслуживания в KDC. Поскольку пароли в каждом из них одинаковы, аутентификация выполняется успешно. Это очень подразумеваемое объяснение. Однако keytab не сможет определить членство в группе пользователей. Это часть авторизации, поэтому вам нужно сделать запрос авторизации LDAP на сервер Directory, если вы хотите проанализировать членство в группе.
Есть только одно исключение из этого правила, о котором я знаю. В однородной Microsoft Active Directory среде, в которой Kerberos является основным методом проверки подлинности (по умолчанию), keytabs не используются. Серверы приложений Microsoft могут без ключа-ключа самостоятельно расшифровать билет Kerberos, чтобы определить, кто является пользователем и, проанализировать тот же самый билет для информации о группе пользователей, без необходимости перенаправления LDAP на сервер Directory. Разбор служебного билета Kerberos для информации о группе известен как , читающий PAC. Однако в среде AD платформы, не относящиеся к Microsoft, не могут «читать PAC» для членства в группах, поскольку Microsoft никогда не раскрывала, как они это делают, насколько мне известно. См. http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization.
Hi; Если мы ответили на ваш вопрос, отметьте его как таковой, который проверит его другим в сообществе; в противном случае сообщите нам, если они есть. –