Аутентифікація Kerberos, хост сервісу та доступ до KDC

У мене є веб-додаток (ім'я хоста: service.domain.com), і я хочу використовувати автентифікацію Kerberos для ідентифікації користувачів, які увійшли до домену Windows. Microsoft AD (Windows Server 2008 R2) надає послугу Kerberos.

Служба - це веб-додаток Java, що використовує бібліотеку розширень Spring Security Kerberos для реалізації протоколу SPNEGO / Kerberos. Я створив файл рекламних ключів в AD, який містить загальний секрет, якого повинно вистачити для автентифікації квитків на Kerberos, які надсилаються браузерами клієнтів за допомогою веб-програми.

Моє запитання: чи повинен хост сервісу (service.domain.com) мати доступ між брандмауером (TCP / UDP 88) до KDC (kdc.domain.com) або чи достатньо файлу з клавішами, щоб хост сервісу міг розшифрувати Керберос-квитки та надають автентифікацію?

Служба ніколи не повинна говорити на KDC . Для цього потрібна вкладка ключа, що генерується KDC , але ви можете скопіювати будь-який потрібний вам спосіб. Їм ніколи не доводиться розмовляти між собою.

Занадто спрощена версія того, що, на мою думку, продовжується, виглядає приблизно так:

Налаштування послуги

• KDC генерує службову клавішу (яка є чимось на зразок секретного ключа / пароля, якщо вам це подобається)
• ця клавіша клавіатури надається до сервісу певним чином ( scpабо переноситься на USB-накопичувач, якщо ви хочете)

Клієнт, який підключається до послуги

• клієнт запитує сервісний квиток у KDC
• KDC генерує службовий квиток , який містить деяку інформацію, яку можна розшифрувати тільки службовою клавішею служби (це файл, який сидить на вашому сервері)
• Клієнт відправляє сервісний квиток на сервіс
• НЕ служба використовує Keytab перевірити квиток (немає мережі зв'язку необхідно)