我通常理解负载平衡器为Kerberos提出的问题。 事实上,微软的知识库文章彻底说明,这是不可能的。 但是, 这篇文章 (也在MS网站上)表明可能有解决方法。
有没有人configuration系统使用Kerberos和负载平衡器? 你需要使用Forefront服务器吗? 你能描述你的设置吗?
另外,Forefront服务器提供的精确function是什么使这项工作成为可能? 据我了解,负载均衡器后面的每台服务器都需要一个不同的SPN,负载均衡器前面的任何东西都无法知道要请求票证的SPN。
您是否与负载均衡器供应商进行了检查? 例如,F5为其本地stream量pipe理器(LTM)提供高级客户端身份validation(ACA)模块,该模块为Kerberos约束委派提供支持。
http://www.f5.com/pdf/white-papers/kerberos-constrained-delegation-pki-wp.pdf
我configuration了kerberos和haproxy负载均衡器(kindof)。 基本上kerberos需要dns的后端服务器的身份validation,我做了什么是我创buildhaproxyconfiguration与两个服务器上的两个不同的端口(81和82)在haproxy主机与rr和httpchk听节,然后两个前端和两个后端节听这些端口的检查和redir立场指向后端主机所需的Kerberos身份validation所需的完整主机名。 我需要这两个应用程序服务器HA与Kerberos身份validation的jboss应用程序,不需要cookie,因为haproxy只是做301redirect到后端服务器,所有的stream量然后去现场的服务器。 这方面的缺点是,用户可以看到后端服务器的完整主机名,如果只用于内部的东西,则需要用户可以访问,因此不确定是否可以在haproxy上以不同的方式进行访问。 如果还有其他的方式来做后端不可见的话 – 如果有人分享了这些信息,那将是非常棒的!