Eu tenho um aplicativo Web (nome do host: service.domain.com) e desejo usar a autenticação Kerberos para identificar usuários que estão conectados a um domínio do Windows. O Microsoft AD (Windows Server 2008 R2) está fornecendo o serviço Kerberos.
O serviço é um aplicativo da Web Java usando a biblioteca de extensão Spring Security Kerberos para implementar o protocolo SPNEGO / Kerberos. Eu criei um arquivo keytab no AD que contém um segredo compartilhado que deve ser suficiente para autenticar tickets Kerberos enviados pelos navegadores clientes usando o aplicativo Web.
Minha pergunta é: é necessário que o host de serviço (service.domain.com) tenha acesso de firewall (TCP / UDP 88) ao KDC (kdc.domain.com) ou é o arquivo keytab suficiente para que o host de serviço possa descriptografar o Tíquetes Kerberos e fornecer autenticação?