J'ai une application Web (nom d'hôte: service.domain.com) et je souhaite utiliser l'authentification Kerberos pour identifier les utilisateurs connectés à un domaine Windows. Microsoft AD (Windows Server 2008 R2) fournit le service Kerberos.
Le service est une application Web Java utilisant la bibliothèque d'extensions Spring Security Kerberos pour implémenter le protocole SPNEGO / Kerberos. J'ai créé un fichier de clés dans AD qui contient un secret partagé qui devrait être suffisant pour authentifier les tickets Kerberos envoyés par les navigateurs clients à l'aide de l'application Web.
Ma question est la suivante: l'hôte de service (service.domain.com) doit-il avoir un accès pare-feu (TCP / UDP 88) à KDC (kdc.domain.com) ou le fichier de clés est-il suffisant pour que l'hôte de service puisse déchiffrer le Des tickets Kerberos et une authentification?