У меня есть основания полагать, что Cisco GSS 4400 Series ведет себя иначе, чем Cisco ACE NLB, в отношении способа передачи ссылок на имена. Я хотел бы узнать подробности того, чем они отличаются, в частности, как GSS обрабатывает имена хостов.
По сути, я пытаюсь настроить аутентификацию Kerberos с помощью GSS.
С балансировщиком нагрузки ACE мне удалось успешно настроить Kerberos - у меня есть различные службы, использующие FQDN балансировщика нагрузки ACE и аутентифицирующиеся на основе этого FQDN. Клиенты указывают на это FQDN, которое в конечном итоге достигает службы после балансировщика нагрузки ACE, и они аутентифицируются с этой службой, по-прежнему используя то же самое FQDN.
Однако с GSS вышеуказанная конфигурация не срабатывает. Я не могу выполнить аутентификацию на основе Kerberos. Похоже, что GSS не просто пересылает трафик на серверы..
Моя РЕАЛЬНАЯ настройка сети такова: GSS -> 2 ACE NLB -> 4 HTTP-сервиса, но я не могу заставить работать даже GSS -> 2 HTTP-сервиса.
Любая информация о GSS будет полезна. Спасибо!
решение1
Я думаю, что ваше основное заблуждение заключается в том, что GSS каким-то образом находится в транспортном потоке. Это не так.
GSS — это просто интеллектуальный блок DNS-разрешения. Он отслеживает статус ряда IP-адресов и возвращает ответы на DNS-запросы в грубой попытке сбалансировать трафик по нескольким географическим точкам.
Сам поток трафика (между клиентом и сервером) никогда не проходит через GSS — GSS просто сообщает клиенту, к какому серверу следует обратиться, преобразуя имя в IP-адрес.
Таким образом, GSS не передает ссылки на имена и не имеет ничего общего с Kerberos. Он просто получает DNS-запрос (UDP-порт 53), выполняет небольшой анализ и отвечает на него IP-адресом на основе того, как определено правило GSS. Никакой HTTP-трафик никогда не попадает в GSS.
Не уверен, что это поможет ответить на ваш вопрос.