История изменений
Исправление DALDON, (текущая версия) :
Наверняка ведь проблема в SPN и она решаемая.
Ну я смогу потом переделать... Сейчас мне нужно уже двигаться дальше, к сожалению у меня нету больше времени на столь тотальные разборки. Мне надо уже в Понедельник по идее отдать всё программистам...
А если говорить о проблеме с SPN - я уверен, что проблема не в этом. Так-как я завёл все мыслимые SPN на всякий случай. :) То есть я завёл: fqdn машинки с nginx, завёл fqdn машинки с tomcat, и аналогично я сделал с hostname этих машинок. - Увы... Не помогло. Никаких других имён я думаю там нету вприницпе. Я думаю что проблема в том, что браузер посылает kerberos запрос, и считает контрольную сумму пакета. Nginx переписывает hostname, и tomcat уже не может видимо подсчитать эту сумму... Да, конечно это всего лишь мои догадки. Но я думаю что я прав... Надо поснифать будет. Я себе положу на стек, потом может закастую тебя, как поснифаю. Но в целом, я на: 99,9% уверен, что я прав, и ничего толкового я там не наснифаю. Там ведь по логам судя, билет то даже и не выдавался (твоё кажется замечание кстати. Вполне разумное.). То есть стало быть, вполне возможно до SPN дело то и не доходит даже - считает tomcat контрольную сумму - и rejectит сразу всё это «добро».
Ок, может быть создам тему с nginx + CentOS 6.3. Но там похоже всё очень плохо на самом то деле. Пока есть более приоритетная задача (скоро создам тред).
Я очень сильно тебя благодарю, ведь благодаря твоим мыслям я смог так или иначе разобраться с вопросом. Чтобы не тратить целый белый ip на на один tomcat, я на улицу наверно повешу просто ещё один nginx, там мне kerberos не нужен. А внутри уже пусть будет как есть наверно. Да и идеологически это выглядит наверное даже более правильно.
Вы
Ой...
Я набираю много текста, по сему очень многие слова у меня набираются на автомате, и иногда я забываю их исправлять. :)
Спасибо тебе всяческое ещё раз!
Исходная версия DALDON, :
Наверняка ведь проблема в SPN и она решаемая.
Ну я смогу потом переделать... Сейчас мне нужно уже двигаться дальше, к сожалению у меня нету больше времени на столь татальные разборки. Мне надо уже в Понедельник по идее отдать всё программистам...
А если говорить о проблеме с SPN - я уверен, что проблема не в этом. Так-как я завёл все мыслимые SPN на всякий случай. :) То есть я завёл: fqdn машинки с nginx, завёл fqdn машинки с tomcat, и аналогично я сделал с hostname этих машинок. - Увы... Не помогло. Никаких других имён я думаю там нету вприницпе. Я думаю что проблема в том, что браузер посылает kerberos запрос, и считает контрольную сумму пакета. Nginx переписывает hostname, и tomcat уже не может видимо подсчитать эту сумму... Да, конечно это всего лишь мои догадки. Но я думаю что я прав... Надо поснифать будет. Я себе положу на стек, потом может закастую тебя, как поснифаю. Но в целом, я на: 99,9% уверен, что я прав, и ничего толкового я там не наснифаю. Там ведь по логам судя, билет то даже и не выдавался (твоё кажется замечание кстати. Вполне разумное.). То есть стало быть, вполне возможно до SPN дело то и не доходит даже - считает оно контрольную сумму - и rejectит сразу всё это «добро».
Ок, может быть создам тему с nginx + CentOS 6.3. Но там похоже всё очень плохо на самом то деле. Пока есть более приоритетная задача (скоро создам тред).
Я очень сильно тебя благодарю, ведь благодаря твоим мыслям я смог так или иначе разобраться с вопросом. Чтобы не тратить целый белый ip на на один tomcat, я на улицу наверно повешу просто ещё один nginx, там мне kerberos не нужен. А внутри уже пусть будет как есть наверно. Да и идеологически это выглядит наверное даже более правильно.
Вы
Ой...
Я набираю много текста, по сему очень многие слова у меня набираются на автомате, и иногда я забываю их исправлять. :)
Спасибо тебе всяческое ещё раз!