Kerberos:通过IP地址访问主机
[英]Kerberos: accessing host by IP address
问题描述
我知道Kerberos不适用于IP地址,它仅依赖域名和正确的DNS条目。
但是我发现旧版本的Overthere库允许通过Kerberos身份验证使用IP地址。
我从那里提取了代码,并创建了一个小型Java项目,该项目演示了https://github.com/igolikov/KerberosWithIP
它使用Apache HttpClient将WSMan请求发送到hyper-v主机。
我还发现它适用于httpclient 4.3.3,不适用于httpclient 4.4.1
它如何与IP一起工作?
UPD1。 我想httpclient或sun.security中的某些内容可能会使用反向DNS查找。 我试图用Wireshark拦截流量,并发现1反向DNS查找(in-addr.arpa),但它响应“无此类主机”,因为默认DNS服务器无法对此IP反向DNS。
UPD2。 这是服务器配置。SPN用于主机名和IP地址。
SPN( 1 ) = WSMAN/10.10.64.60 1+=1
SPN( 1 ) = HOST/somehost.corp.org.com 1+=1
SPN( 1 ) = HOST/somehost 1+=1
1 个解决方案
解决方案1
1 已采纳 2015-11-05 01:46:11
Kerberos可以在没有DNS的情况下很好地工作,DNS解决的问题是协议双方都同意使用同一服务主体。 如果我使用kerberos API将主体修改为标准主体,那么只要服务器端的密钥表中包含该主体,它将继续起作用。
IE,您必须先知道要连接的服务使用的kerberos主体,然后才能进行连接。 大多数服务主体采用以下形式
service/dns.name.of.host
但是服务主体可以是任何东西,只要客户端软件知道“以某种方式”使用什么即可。
为什么Java中的kerberos身份验证不支持直接IP访问或主机别名访问
[英]Why kerberos authentication in Java does not support direct IP access or host alias access
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.