2.6. Active Directory 的其他注意事项

清除现有的服务主体映射。

在 Microsoft Windows 网络上，将自动创建一些映射。删除自动创建的映射，将服务器的身份映射到服务主体，以便正确进行协商。该映射使客户端计算机上的 Web 浏览器能够信任服务器并尝试 SPNEGO。客户端计算机通过域控制器验证以 HTTP/HOST_NAME 形式进行的 映射。

以下是删除现有映射的步骤：

setspn -L MACHINE_NAME

setspn -D HTTP/HOST_NAME MACHINE_NAME

setspn -D host/HOST_NAME MACHINE_NAME

创建主机用户帐户。

在本节的其余部分中，主机名指代为 USER_NAME。

定义 USER_NAME 和 HOST_NAME 之间的映射。

运行以下命令来配置服务主体映射：

ktpass -princ HTTP/HOST_NAME@REALM -pass * [-kvno 0] -mapuser DOMAIN\USER_NAME -out jboss.keytab -ptype KRB5_NT_PRINCIPAL -crypto all

出现提示时，输入用户名的密码。

运行以下命令来验证映射：sets pn -L USER_NAME.

在安全域中定义主体。

主体可以在 elytron 或传统 安全 子系统中定义或更新至 HTTP/HOST_NAME@REALM。