我想创建 SPN 和密钥表以包含代理 DNS,以便代理可以将标头转发到后端。我不确定什么是主机、域和领域。有人可以验证它看起来是否正常吗?还是我添加的 example.com 太多了?
代理的服务器名称配置为 testing.example.com 境界是 example.com
setspn -a HTTP/testing.example.com testingHTTP
setspn -a HTTP/testing.example.com.example.com testingHTTP
ktpass -princ HTTP/testing.example.com.example.com@example.com -pass Password -mapuser example\testinghttp -crypto ALL -ptype KRB5_NT_PRINCIPAL -out d:\temp\key.keytab -kvno 0
假设代理位于同一域中,您只需要知道代理的人脸网址。使用此人脸 URL 作为 SPN 值。假设您的代理人脸 urlhttp://testing.example.com,命令setspn -a HTTP/testing.example.com testinghttp是正确的。
此外,如果您正在生成密钥表,则无需执行上述命令。ktpass 中指定的 SPN(即代理人脸 URL(会自动附加到给定用户。此外,用户的 UPN 也会更改为此 SPN 值。
代理将(它必须(将请求"按原样"(带有所有标头(重定向到终端节点/服务器。 在接收端(服务器(上,您需要接受"协商"标头中存在的票证。为此,您必须使用上面生成的密钥表(及其密码(。