Kerberos 认证中统一多个 URL 访问的最佳实践：使用单个 Windows SPN

通过单个 Windows SPN 统一多个 URL 访问

问题

在分布式系统中，不同的服务器可能需要通过 Kerberos 认证访问同一个服务。传统的做法是为每个服务器配置一个唯一的 SPN (服务主体名称)，以便客户端可以获取对应的服务票证进行身份验证。然而，当涉及到浏览器请求时，浏览器会根据不同的 URL 请求不同的 SPN 票证，造成管理上的不便。

解决方法

通过深入研究和实验，我们发现 Keytab 中的服务密钥不依赖于 SPN，而是仅依赖于绑定的帐户。因此，我们可以通过将 SPN 添加到服务帐户的方式，使多个 URL 共享同一个 Windows SPN。

详细步骤

1. 添加 SPN 到服务帐户

   使用 ktpass 工具，将 SPN 添加到服务帐户。例如：

   ktpass -princ HTTP/webserver1.example.com -pw password -mapUser DOMAIN\serviceaccount -crypto RC4-HMAC-MD5
   

2. 重启 Kerberos 服务

   重启 Kerberos 服务以应用更改。

3. 重复步骤 1 和 2

   对于其他服务器，重复步骤 1 和 2。

4. 验证服务票证

   在客户端机器上，使用 klist 命令验证是否已正确获取服务票证：

   klist -e
   

5. 移除 Keytab 中的 SPN

   此时，浏览器不再需要在 Keytab 中配置 SPN。

注意事项

• 确保服务帐户具有访问所有 Web 服务器的权限。
• 使用强密码并定期更改。
• 限制对服务帐户的访问，仅授予必要人员权限。

结论

通过将 SPN 添加到服务帐户，我们可以简化 Kerberos 认证的管理，消除为每个 URL 配置单独 SPN 的需要。这种方法对于多服务器环境中的浏览器访问场景尤其有用，因为它提供了更灵活和易于维护的解决方案。

常见问题解答

1. 为什么 Keytab 中的服务密钥不依赖于 SPN？

   Keytab 是一种存储 Kerberos 票证的加密文件。服务密钥是用于加密和解密票证的密钥，它与绑定的服务帐户相关联，而不是与 SPN 相关联。

2. 哪些 SPN 可以添加到服务帐户？

   您可以将任何 SPN 添加到服务帐户，只要该帐户拥有访问该 SPN 所代表服务的权限。

3. 这种方法是否适用于所有类型的 Kerberos 应用程序？

   这种方法主要适用于浏览器请求，它允许使用不同的 URL 访问同一个服务。对于其他类型的应用程序，可能需要单独配置 SPN。

4. 有哪些安全隐患？

   确保服务帐户的安全性至关重要。如果您将 SPN 添加到一个不安全的帐户，可能会导致未经授权的访问。

5. 如果需要更改服务帐户怎么办？

   如果您需要更改服务帐户，则需要使用 ktpass 工具将 SPN 从旧帐户转移到新帐户。