WildFly 10.1 Load Balancer + Kerberos/SPNEGO

Question

Wie kann ich einem WildFly 10.1 Load Balancer die SPNEGO-Authentifizierung hinzufügen?

Hintergrund:

• Alle Knoten auf Windows ausgeführt werden.
• Die Knoten selbst laufen auf Wildfly 8.2.1 (weil die Anwendung ist es fest) in einer Wildfly 8.2.1 Domäne
• Der Load Balancer Wildfly 10.1
• Die Knoten mit mod_cluster
registrieren läuft

Answer 1

In Ihrer Post gibt es nicht viel zu wissen, was funktioniert und was nicht. In diesem Forum geht es mehr darum, welchen benutzerdefinierten Code Sie erstellt haben, der nicht funktioniert, und wir können Ihnen dabei helfen. In diesem Fall suchen Sie eher nach einem Ansatz zur Einrichtung der Kerberos-Authentifizierung in Ihren WildFly-Knoten über einen Load-Balancer. Als Information spielt es keine Rolle, dass ein Load-Balancer involviert ist, außer dass Sie einen VIP-Namen für die Knoten in DNS angeben und der VIP-Name der vollständig qualifizierte DNS-Host-Teil des Namens im SPN ist, den Sie verwenden muss eingerichtet werden, damit Clients Kerberos-SSO gegen die WildFly-Knoten ausführen können. Ich weiß speziell nichts über WildFly, aber ich fand diesen Link für Sie, der Ihnen den Einstieg erleichtern könnte: WildFly 9 - Kerberos Authentication for Domain Management Over HTTP

Answer 2

Sie müssen die SPNEGO-Unterstützung in Ihre Anwendung bekommen.

WildFly 8 und 9 haben die Undertow SPNEGO-Integration nicht (WFLY-2553). Sie sollten entweder zu WildFly 10.x wechseln oder versuchen, eine benutzerdefinierte SPNEGO-Authentifizierungsmethode für Ihre Worker-Knoten zu verwenden. Versuchen Sie entweder servlet filter oder this custom authenticator zu verwenden.

Meine starke Empfehlung ist ein Upgrade auf WildFly 10+.