Adicionando novos SPNs aos IDs de serviço existentes

2

Temos um servidor tomcat usando kerberos de segurança de mola para autenticar usuários na página da Web em relação ao diretório ativo.

Existem cerca de 25 controladores de domínio.

O site tem dois aliases DNS baseados em CNAME.

Atualmente, o site tem um ID de serviço com SPNs registrados para o registro DNS A e para cada um dos CNAMEs.

Enquanto tudo está funcionando agora, não sei como alterar de forma confiável essa configuração sem possível tempo de inatividade.

A razão é que os clientes armazenam em cache os tickets do kerberos:

link

The 'kerbtray.exe' program is helpful for viewing and deleting Kerberos tickets on the endpoint. Old tickets must be purged from the endpoint if SPNs are updated or passwords are changed (assuming the endpoint still has a cached copy of the ticket from a prior SPNEGO request to the MAG Series device. During testing, you should purge tickets before each authentication request.

Descrição do programa "klist" usado para inspecionar / excluir tickets armazenados em cache: link

Portanto, se cada um dos clientes (usuários que executam janelas) que se conectam ao meu servidor web tiverem tickets kerberos inválidos assim que eu atualizar os SPNs ou senhas, como garantir que as alterações sejam perfeitas? Há alguma operação que possa ser feita com segurança? Não posso pedir a todos os usuários que instalem o klist e excluam seus tickets antigos.

    
por jmh 31.10.2013 / 15:04

2 respostas

1

A estratégia para isso no lado unix das coisas seria manter as antigas e novas cópias da chave no keytab do serviço. O Kerberos mantém os números de versão nas chaves e as bibliotecas do kerberos verificarão o keytab da versão correta a ser usada quando o ticket de serviço for apresentado.

Você só pode ter uma versão da chave no KDC, mas enquanto as versões antigas e novas da chave estiverem no keytab do servidor, seus clientes não verão interrupção no serviço. Se você puder explicar como instala o keytab para o serviço, provavelmente posso sugerir algo.

    
por 31.10.2013 / 15:34
0

Talvez você deva testar a adição de um SPN, em vez de alterar um SPN existente. Os Principals de segurança podem ter vários SPNs.

    
por 31.10.2013 / 16:46