我们有一个使用Liferay 6.2编写的Web应用程序,并部署在Tomcat服务器上。应用程序使用集成的Windows认证进行访问。如果直接使用主机名来访问,一切都很正常。
为了隐藏实际的主机名,我们创建了一个CNAME记录。当使用该记录进行访问时,用户会收到重复的凭证提示,尽管输入了正确的凭证,但身份验证仍被拒绝。
我们尝试使用命令为CNAME创建SPN。setspn -a "HTTP/<<friendly name>>". 由于使用HTTPS在标准端口443上进行连接,所以在创建SPN时没有指定端口号。但是,反复出现的身份验证提示依然存在。应用程序使用服务账户运行。在创建SPN时加入服务账户可能是一个选项。如果有什么建议可以尝试,请分享。
一切正常 "是什么意思?你是否收到提示,当你输入 creds 时,它能正常工作,或者它进行 SSO 并在没有提示的情况下登录你?
事实上,你得到提示是因为a)新的c名不被认为是在intranettrusted internet区。请参见Internet选项>;安全>;本地IntranetTrusted Sites>;网站。或者b)向服务器发送的请求票失败。
另外通常你不会把cname注册为SPN。你将cname指向的A记录注册为SPN。我猜测这就是导致失败的原因。SPN 被注册到了错误的服务帐户,所以 KDC 使用了错误的服务帐户密钥。