Tenho motivos para acreditar que o Cisco GSS 4400 Series se comporta de maneira diferente dos NLB do Cisco ACE no que diz respeito à maneira como passam referências de nomes. Gostaria de saber os detalhes de como eles diferem, especificamente a forma como o GSS lida com nomes de host.
Estou tentando configurar a autenticação Kerberos essencialmente com o GSS.
Com o balanceador de carga ACE, consigo configurar o Kerberos com sucesso - faço com que vários serviços usem o FQDN do balanceador de carga ACE e autentiquem com base nesse FQDN. Os clientes apontam para esse FQDN, que eventualmente alcança um serviço após o balanceador de carga ACE, e se autenticam com esse serviço, ainda usando o mesmo FQDN.
Contudo, com o GSS, a configuração acima falha. Não consigo autenticar com base no Kerberos. Parece que o GSS não apenas encaminha o tráfego para os servidores.
Minha configuração de rede REAL é: GSS -> 2 ACE NLB -> 4 serviços HTTP, mas não consigo nem fazer o GSS -> 2 serviços HTTP funcionar.
Qualquer informação sobre GSS seria útil. Obrigado!
Responder1
Acho que seu principal equívoco é que o GSS está de alguma forma no fluxo do tráfego. Não é.
O GSS é simplesmente uma caixa inteligente de resolução de DNS. Ele monitora o status de vários endereços IP e retorna respostas a consultas DNS em um grande esforço para equilibrar o tráfego em várias regiões geográficas.
O próprio fluxo de tráfego (entre o cliente e o servidor) nunca atravessa o GSS - o GSS simplesmente informa ao cliente qual servidor deve ser direcionado, resolvendo um nome para um endereço IP.
Portanto, o GSS não passa referências de nomes nem tem nada a ver com Kerberos. Ele simplesmente recebe uma solicitação DNS (porta UDP 53), faz uma pequena análise e responde com um endereço IP baseado em como a regra GSS é definida. Nenhum tráfego HTTP chega ao GSS.
Não tenho certeza se isso ajuda a responder sua pergunta.