2.6. Active Directory에 대한 추가 고려 사항

기존 서비스 주체 매핑 지우기.

Microsoft Windows 네트워크에서 일부 매핑은 자동으로 생성됩니다. 자동으로 생성된 매핑을 삭제하여 서버의 ID를 서비스 주체에 매핑하여 협상을 올바르게 수행합니다. 매핑을 사용하면 클라이언트 컴퓨터에서 웹 브라우저가 서버를 신뢰하고 SPNEGO를 시도할 수 있습니다. 클라이언트 컴퓨터는 HTTP/HOST_NAME 형식으로 매핑에 대한 도메인 컨트롤러로 확인합니다.

다음은 기존 매핑을 삭제하는 단계입니다.

setspn -L MACHINE_NAME

setspn -D HTTP/HOST_NAME MACHINE_NAME

setspn -D host/HOST_NAME MACHINE_NAME

호스트 사용자 계정을 만듭니다.

섹션의 나머지 부분에서 호스트 사용자 이름을 USER_NAME 이라고 합니다.

USER_NAME과 HOST_NAME 간의 매핑을 정의합니다.

다음 명령을 실행하여 서비스 주체 매핑을 구성합니다.

ktpass -princ HTTP/HOST_NAME@REALM -pass * [-kvno 0] -mapuser DOMAIN\USER_NAME -out jboss.keytab -ptype KRB5_NT_PRINCIPAL -crypto all

메시지가 표시되면 사용자 이름의 암호를 입력합니다.

다음 명령을 실행하여 매핑을 확인합니다. setspn -L USER_NAME.

보안 도메인 내에서 주체를 정의합니다.

주체는 elytron 또는 legacy 보안 하위 시스템에서 HTTP/HOST_NAME@REALM 으로 정의하거나 업데이트할 수 있습니다.