0
我想在Jetty中使用这些指令来设置SPNEGO:https://wiki.eclipse.org/Jetty/Howto/Spnego。Kerberos - 什么是SPN,为什么使用
我想知道什么是SPN(来自Google,看起来像某种别名),为什么它实际上使用? (即它增加了什么 - 额外的安全性?如果是这样 - 为什么?)
谢谢。
我想在Jetty中使用这些指令来设置SPNEGO:https://wiki.eclipse.org/Jetty/Howto/Spnego。Kerberos - 什么是SPN,为什么使用
我想知道什么是SPN(来自Google,看起来像某种别名),为什么它实际上使用? (即它增加了什么 - 额外的安全性?如果是这样 - 为什么?)
谢谢。
SPN是服务主体名称,决不是Kerberos中的一个侧面特征。基本上,它等同于用户名,但是用于服务器端。票务授权服务知道所有服务委托人及其密码,并使用该密码加密服务票证。为了获得某项服务的服务票据,显然你必须知道它的SPN。
因此使用您使用的术语。 SPN是连接票务授权服务的用户名(在这种情况下是Active Directory)。我把它的密钥表文件是某种密码?这实际上是需要的,虽然...有什么阻止我通过输入在网页上的客户端的用户名和密码? – Cheetah
Kerberos的关键优势在于它是一个单一登录系统,无需为每个请求联系身份验证机构。客户端不知道服务器的密码,如果这就是你所暗示的。 'keytab'在服务器上,所以服务器知道它自己的密码,它需要解密服务票据。 –
'Kerberos ...无需为每个请求联系身份验证机构。一旦你有认证会话,这对每个认证系统都是一样的吗? '客户端不知道服务器的密码。我犯的错误是我忘记了客户端细节在被发送到我的应用服务器之前被散列,因此我不能用它们“登录”到AD服务器。 'keytab在服务器上,所以服务器知道自己的密码'。那么为什么不只是使用密码,为什么一个文件? – Cheetah