使用 Kerberos SSO 访问同一个 Alfresco 实例的 2 个不同 URL

Posted 2023-02-19

【中文标题】使用 Kerberos SSO 访问同一个 Alfresco 实例的 2 个不同 URL

【英文标题】：2 different URLs to access the same Alfresco instance with Kerberos SSO

【发布时间】：2022-01-13 06:55:58

【问题描述】：

使用 Alfresco Community - 7.1.0，在带有 Portainer 的 Docker Swarm 集群上运行。

我已经设法使用 Kerberos 和作为 KDC 的 Active Directory 服务器（通过 LDAP 同步 AD 用户）设置了一个带有 SSO 的 Alfresco 实例。我所做的只是按照 Alfresco 文档中的说明进行操作，因此我对 Kerberos 的了解还不够，无法理解它的工作原理和原因。

现在可以通过与 AD 服务器（也是域控制器）具有相同域的单个 URL 访问 Alfresco。由于令人讨厌的原因，我现在不会讨论，我需要通过 2 个单独的外部 URL 使这个 Alfresco 可访问，这两个 URL 都有 与 AD 服务器不同的域。

我是否需要拥有超过 1 个 Kerberos 领域，或者领域和 KDC 之间是否存在一对一的关联？

我需要从互联网域名映射到 Kerberos 领域吗？

出于某种原因，我很难理解这些 Kerberos 的东西......

【参考方案1】：

Alfresco 只需要一个 REALM。 您需要为每个预期的 url 创建一个单独的 SPN，并将它们全部放入 Alfresco 的一个 keytab 中。

至少需要将 Windows 配置为信任其他域进行 SSO/kerberos 身份验证，方法是将它们放入 Intranet 区域。

【讨论】：

你好罗伯特，这很好用，非常感谢！解决方案比我想象的要简单得多。