LINUX.ORG.RU

История изменений

Исправление thesis, (текущая версия) :

Я думаю что проблема в том, что браузер посылает kerberos запрос, и считает контрольную сумму пакета. Nginx переписывает hostname, и tomcat уже не может видимо подсчитать эту сумму.

Я думаю, проблема в том, что клиент получает тикет для http/nginxhost.corp.com, а приходит (пусть черех прокси, неважно) с этим тикетом на сервис, ожидающий тикета на http/tomcathost.corp.com, каковой сервис поэтому удивленно шлет его в жопу. А уж переписать какие-либо данные в тикете сервиса нжынкс не может (да и нафиг ему это надо - его дела дальше передать токен аутентификации), насколько я понимаю всю эту кухню.
Но не видя трафика с контроллера домена и полной картинки с конфигами и кейтабами, сказать что-то невозможно.
(А вдумчиво смотреть полную картину все равно было бы лень :))

Исправление thesis, :

Я думаю что проблема в том, что браузер посылает kerberos запрос, и считает контрольную сумму пакета. Nginx переписывает hostname, и tomcat уже не может видимо подсчитать эту сумму.

Я думаю, проблема в том, что клиент получает тикет для http/nginxhost.corp.com, а приходит с этим тикетом на сервис, ожидающий тикета на http/tomcathost.corp.com, каковой сервис поэтому удивленно шлет его в жопу. А уж переписать какие-либо данные в тикете сервиса нжынкс не может (да и нафиг ему это надо - его дела дальше передать токен аутентификации), насколько я понимаю всю эту кухню.
Но не видя трафика с контроллера домена и полной картинки с конфигами и кейтабами, сказать что-то невозможно.
(А вдумчиво смотреть полную картину все равно было бы лень :))

Исходная версия thesis, :

Я думаю что проблема в том, что браузер посылает kerberos запрос, и считает контрольную сумму пакета. Nginx переписывает hostname, и tomcat уже не может видимо подсчитать эту сумму.

Я думаю, проблема в том, что клиент получает тикет для http/nginxhost.corp.com, а приходит с этим тикетом на tomcathost.corp.com, который удивленно шлет его в жопу. А уж переписать какие-либо данные в тикете сервиса нжынкс не может (да и нафиг ему это надо - его дела дальше передать токен аутентификации), насколько я понимаю всю эту кухню.
Но не видя трафика с контроллера домена и полной картинки с конфигами и кейтабами, сказать что-то невозможно.
(А вдумчиво смотреть полную картину все равно было бы лень :))