ロードバランサーによるKerberos認証
私は一般的に、ロードバランサーがKerberosに対してもたらす問題を理解しています。実際、Microsoftの KB記事 は、それは不可能であると完全に述べています。ただし、 この記事 -MSサイトにもあります-可能な回避策があることを示唆しています。
Kerberosとロードバランサーを使用するようにシステムを構成した人はいますか? Forefrontサーバーを使用する必要がありましたか?セットアップについて説明してください。
また、これを機能させるForefrontサーバーが提供する正確な機能は何ですか?私が理解しているように、ロードバランサーの背後にあるサーバーごとに異なるSPNが必要であり、ロードバランサーの前にあるものはチケットを要求するSPNを知ることができません。
ロードバランサーのベンダーに確認しましたか?たとえば、F5には、Kerberos制約付き委任のサポートを提供するLocal Traffic Manager(LTM)用のAdvanced Client Authentication(ACA)モジュールがあります。
http://www.f5.com/pdf/white-papers/kerberos-constrained-delegation-pki-wp.pdf
Kerberosとhaproxyロードバランサー(kindof)を構成しました。基本的に、Kerberosは認証のためにバックエンドサーバーのDNSを必要とします。私がしたことは、rrとhttpchkを備えたhaproxy Host上の2つの異なるポート(81と82)に2つのサーバーを備えたhaproxy configを作成し、次に2つのフロントエンドと2つのバックエンドスタンザがリッスンすることですこれらのポートには、kerberos認証に必要な完全なホスト名を持つバックエンドホストを指すチェックと再試行スタンスがあります。 kerberos認証を備えたjbossアプリを備えた2つのアプリサーバーのHAにこれが必要でした。haproxyはバックエンドサーバーに301リダイレクトするだけで、すべてのトラフィックは稼働中のサーバーに送られるため、Cookieは必要ありません。これの欠点は、ユーザーがバックエンドサーバーの完全なホスト名を見ることができ、ユーザーがアクセスできるようにする必要があるため、内部的なものにのみ使用する場合に最適です。これを行う他の方法があり、バックエンドが表示されない場合-誰かが情報を共有するとすばらしいでしょう