2

ユーザーに代わって Kerberos チケットを生成する必要がある Java EE サーバー アプリケーションを開発しています。

私が開発しているアプリケーションは、別の資格情報 (非 Active Directory、生体認証など) を使用してユーザーを認証し、ユーザーが認証されたことを示す Kerberos チケットを何らかの方法で生成する必要があります。次に、Kerberos チケットを使用して SPNEGO トークンを生成し、トークンを HTTP ヘッダーに挿入して、ブラウザーからの後続の要求でユーザーを再認証する必要がないようにします。

ユーザーの未加工の AD パスワードなしで、ユーザーに代わってその Kerberos チケットを生成することは可能ですか? (AD サービス アカウントのログインとパスワードにアクセスできると仮定します)。可能であれば、どうやってそれを行うのですか?どのような構成、権限が必要ですか?

4

1 に答える 1

4

はい、可能です。Microsoft は、このために Kerberos を拡張しました。これは、ユーザー向けサービス (S4U) と呼ばれます。あなたのケースは呼び出されS4U2Selfます(プロトコル移行)。これは Java 8 で利用できます。チケットを確認して、そのコードを Java 承認クラスパスに追加できます。詳細については、MIT Kerberos wikiを参照してください。

于 2012-12-11T11:03:17.303 に答える