2016-11-07 39 views
0

Как добавить аутентификацию SPNEGO в балансировщик нагрузки WildFly 10.1?WildFly 10.1 Load Balancer + Kerberos/SPNEGO

фона:

  • Все узлы работают на Windows.
  • Узлы сами работают на WildFly 8.2.1 (потому что приложение плотно прилегает к ней) в области
  • Wildfly 8.2.1 балансировки нагрузки работает WildFly 10,1
  • Узлы регистрации с mod_cluster

ответ

1

В вашем посте не так много, что есть и не работает. Этот форум больше посвящен тому, какой пользовательский код вы создали, который не работает, и мы можем вам помочь. Похоже, в этом случае вы смотрите больше на подход к настройке проверки подлинности Kerberos в своих узлах WildFly с помощью балансировки нагрузки. Как информация, не имеет значения, что есть задействованный балансировщик нагрузки, за исключением того, что вы указываете имя VIP для узлов в DNS и имеете имя VIP, являющееся полнофункциональной частью хоста DNS имени в SPN, которое вы необходимо настроить для того, чтобы клиенты выполняли SSO Kerberos против узлов WildFly. Я ничего не знаю о WildFly, но я нашел для вас эту ссылку, которая может помочь вам начать: WildFly 9 - Kerberos Authentication for Domain Management Over HTTP

+0

Я все еще немного смущен. В VIP я предполагаю, что вы имеете в виду Virtual IP. Как я понял. Балансировщик нагрузки получает запрос и перенаправляет его на узел веб-сервера. Насколько я понимаю, согласование Kerberos происходит между клиентом и балансировщиком нагрузки, а не между клиентом и узлом. Настройка DNS-цикла или VIP помогла бы, если бы я хотел распределить нагрузку между несколькими балансирами нагрузки. В противном случае балансировка нагрузки будет выполняться с помощью настройки сети, а не балансировки нагрузки на wildfly. – Maddin

2

Вам необходимо получить поддержку SPNEGO в вашем приложении.

У WildFly 8 и 9 нет встроенной интеграции SPNEGO (WFLY-2553). Вы должны либо переключиться на WildFly 10.x, либо попытаться использовать собственный метод проверки подлинности SPNEGO на ваших рабочих узлах. Попробуйте использовать либо servlet filter, либо this custom authenticator.

Моя сильная рекомендация - перейти на WildFly 10+.