Ita*_*bay 8 ssl reverse-proxy kerberos windows-authentication haproxy
我正在尝试在我们的系统中为微服务架构实现反向代理。
代理服务器是HAProxy,可与SSL终止一起使用,并且需要使用Https和Kerberos身份验证将请求代理到后端服务器。我成功终止了代理服务器上的ssl并将请求传递给https服务器(我需要终止才能将请求的内容按它们的主体路由到特定的后端服务),但是无法通过后端服务器上的kerberos进行身份验证。
是否可以在代理服务器上实现Kerberos身份验证,然后将TGT传递给其他后端服务?
我已经成功地做到了这一点,并且需要一些工作。
当时我使用 HDP,所以我使用 ambari 在 HAproxy 节点上设置 Hive 服务器。(这样做的唯一目的是让 Ambari 管理 kerberos 原则。hive 服务器本身从未运行)
然后,我将我的 Hive 服务器(在代理上)的密钥表与我的 Hive 服务器密钥表合并,以便可以在 Hive 服务器上使用该原理。我想我也允许它作为与 hive 一起工作的原则。我确信还有另一条路径可以让您使用委派,但这是阻力最小的过去,并且使得配置单元管理主要管理密钥表。当密钥表重新生成时,我确实必须重新合并密钥表,但这并不像手动管理密钥表那么糟糕。
| 归档时间: |
|
| 查看次数: |
552 次 |
| 最近记录: |