Seit der Erstellung der JGSS Dokumentation für Kerberos in Java haben sich mit Windows Server 2008 hilfreiche Vereinfachungen ergeben. Diese werden hier kurz vorgestellt.
Die Konfiguration von JGSS für Kerberos ist hinreichend dokumentiert. Beispiele hierzu sind:
Diese laufen alle auf die Erstellung einer Keytab Datei durch den Windows Domänen Administrator hinaus. Seit Windows 2003 hat sich hier eine wichtige Verbesserung ergeben, nämlich der optionale Parameter “/mapOp set”. Beispiel:
ktpass /out serverhostname.keytab /mapuser realm002\username /princ HTTP/app1.intranet.company.com@REALM002.COMPANY.COM /crypto RC4-HMAC-NT /pass XXXXXXXX /ptype KRB5_NT_PRINCIPAL /mapOp set
Der Parameter “/mapOp set” überschreibt gegebenenfalls existierende SPN Mappings automatisch, was vorher manuell und fehleranfällig durch einen seperaten “setspn -D” Aufruf erledigt werden musste. Hierdurch wird immer ein richtiges SPN-Mapping sicher gestellt, was die weitere Inbetriebnahme erleichtert da es eine Fehlerquelle eliminiert.
Natürlich ist dies nur ab dem zweiten ktpass-Versuch relevant. Die Erfahrung zeigt aber, dass meist mehr wie ein ktpass Lauf notwendig ist, bevor wirklich alle Parameter stimmen. 