在Windows AD域环境中使用Kerberos实现Web应用自动登录
本文介绍如何在Windows Active Directory域环境下,利用Kerberos协议实现Web应用的无缝自动登录,并重点关注使用Go和Node.js开发的Web服务器场景。 我们假设您已拥有一个Windows AD域,并掌握了从域导出keytab文件的方法。
以下解答针对文中提出的关键问题:
setspn命令执行位置: setspn命令必须在Windows域控制器上运行。这是因为服务主体名称(SPN)存储在域控制器的Active Directory数据库中,用于将服务与Kerberos凭据关联。客户端机器没有权限直接修改域控制器数据库。
SPN中的主机名: 在命令 setspn -A HTTP/host.domain.local domain\user 中,host.domain.local 代表Web应用服务器的完全限定域名(FQDN)。它明确标识提供HTTP服务的服务器。
Go Web服务器端的Kerberos库: Go语言的jcmturner/gokrb5库是一个功能强大的Kerberos客户端库,它处理Kerberos认证的细节,例如获取和验证票据等。 Go Web服务器无需直接使用Kerberos命令行工具(如kinit)。gokrb5库会为您完成这些工作。
Go Web服务器部署位置: Go Web服务器不必部署在已加入域的Windows机器上。它可以部署在任何能够访问域控制器并使用Kerberos库的机器上,包括Linux机器。 这就是使用jcmturner/gokrb5等跨平台库的优势。 确保您的服务器能够解析域名并与域控制器进行网络通信即可。
