我在Linux上,我有一个带有kerberos的java Web应用程序容器设置。我需要这个java Web应用程序容器设置,以便它可以使用受siteminder + kerberos保护的IIS服务器进行身份验证。
所以在 Windows 上,我使用
ktpass -out serviceaccount.keytab -princ serviceaccount@MYDOMAIN.COM -mapUser serviceaccount -mapOp set -pass YOUR_PASSWORD -crypto ALL -pType KRB5_NT_PRINCIPAL
所以这给了我serviceaccount.keytab.伟大。
但是在Linux上呢?我可以只使用生成的这个密钥表文件吗?还是我必须再次运行此过程。像这样:
ktutil
addent -password -p serviceaccount@MYDOMAIN.COM -k 1 -e RC4-HMAC
- it will ask you for password of serviceaccount -
wkt serviceaccount.keytab
q
在 Windows 平台上生成的密钥表文件是否独立?还是需要使用linux ktutil再次生成它?
Kerberos 客户端工具有几种风格。
最常见的是麻省理工学院的Kerberos,另一个是Heimdal。
我还没有看到Heimdal在我们的Linux服务器上被使用,但我知道其他人也在使用它。
例如,当您安装krb5-workstationyum 软件包时,这将带来 MIT Kerberos 而不是 Heimdal。
只要您使用相同风格的 Kerberos 工具,在 Windows 上生成的关键表在 Linux 上的工作方式相同,反之亦然。