Uwierzytelnianie Kerberos, host usługi i dostęp do KDC

Mam aplikację internetową (nazwa hosta: service.domain.com) i chcę używać uwierzytelniania Kerberos do identyfikowania użytkowników zalogowanych do domeny Windows. Microsoft AD (Windows Server 2008 R2) zapewnia usługę Kerberos.

Usługa jest aplikacją internetową Java wykorzystującą bibliotekę rozszerzeń Spring Security Kerberos do implementacji protokołu SPNEGO / Kerberos. Utworzyłem plik tabeli kluczy w AD, który zawiera wspólny klucz tajny, który powinien wystarczyć do uwierzytelnienia biletów Kerberos, które są wysyłane przez przeglądarki klienta za pomocą aplikacji internetowej.

Moje pytanie brzmi: czy host usługi (service.domain.com) musi mieć dostęp do zapory ogniowej (TCP / UDP 88) do KDC (kdc.domain.com), czy też plik tabeli kluczy wystarcza, aby host usługi mógł odszyfrować Bilety Kerberos i zapewnić uwierzytelnianie?

Usługa nie musi rozmawiać z KDC . Wymaga keytab wygenerowanego przez KDC , ale można go kopiować w dowolny sposób. Nigdy nie muszą ze sobą rozmawiać.

Zbyt uproszczona wersja tego, co według mnie dzieje się mniej więcej tak:

Konfiguracja usługi

• KDC generuje usług keytab (który jest czymś w rodzaju tajnego klucza / hasło, jeśli chcesz)
• ten keytab jest dostarczany do usługi w jakiś sposób ( scplub noszony na dysku USB, jeśli chcesz)

Klient łączy się z usługą

• klient żąda biletu usługi od KDC
• KDC generuje bilet serwisowy , który zawiera pewne informacje, które można odszyfrować tylko za pomocą klucza usługi (jest to plik, który znajduje się na serwerze)
• klient wysyła swój bilet serwisowy do serwisu
• serwis wykorzystuje keytab zweryfikować bilet (brak komunikacji konieczne sieć)