Spring + Kerberos +受信任的域

Question

我在Active Directory中有2個域：域A和域B。在這些域之間建立了雙向信任。 域A有一個用戶A，域B有一個用戶B。另外，域A有一個稱為組A的域本地安全組。用戶B是組A的成員。

我要實現的是對域A中的兩個用戶進行身份驗證。到目前為止，對域A中的用戶A和域B中的用戶B進行身份驗證都沒有問題。現在，我需要對域A中的用戶B進行身份驗證。

這在Java / Spring技術堆棧中可行嗎？ 我的第一次嘗試是使用Spring Security的ActiveDirectoryLdapAuthenticationProvider，但隨后我檢查了它是否使用了簡單的ldap綁定請求，因此我猜想此提供程序無法做到這一點。

接下來，我嘗試使用Kerberos（Spring Security Kerberos模塊），但是再次：我可以對域A中的用戶A和域B中的用戶B進行身份驗證。在嘗試對域A中的用戶B進行身份驗證時，沒有成功。在Kerberos中進行-realm身份驗證時，我可以看到具有兩個領域的解決方案（每個領域都指定了自己的KDC）。 這將以一種方式讓用戶B在域B中進行身份驗證，而我想避免這種方式。

我的krb5.conf：

[libdefaults]
    default_realm = DOMAIN-A.COM
    default_tkt_enctypes = rc4-hmac aes256-cts aes128-cts des3-cbc-sha1 des-cbc-md5 des-cbc-crc
    default_tgs_enctypes = rc4-hmac aes256-cts aes128-cts des3-cbc-sha1 des-cbc-md5 des-cbc-crc
    dns_lookup_realm = false
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
[realms]
    DOMAIN-A.COM = {
        kdc = domain-a.com
        admin_server = domain-a.com
    }
[domain_realm]
    .domain-a.com = DOMAIN-A.COM
    domain-a.com = DOMAIN-A.COM

有什么方法可以配置Kerberos（或者可以配置Active Directory或KDC）來實現它？

還是完全解決該問題的另一種方法？ 像Kerberos以外的其他東西嗎？

Answer 1

您可以在“用戶B是域本地安全組A的成員”部分上確定。 但是我認為是錯誤的，您的krb5.conf不包含對域B的任何引用。因此它不知道在哪里驗證Kerberos票證。 請參閱一個包含兩個域的krb5.conf的MIT示例 。 如果根據示例編輯krb5.conf后仍然無法正常運行，請使用最新的樣子更新您的問題。