2

SourceForge の SPNEGO ライブラリを使用して、Web アプリケーションに Java SSO を実装しようとしています。http://spnego.sourceforge.netの hello_spnego.jsp の例は正常に動作しますが、次のパラメーターについてまだ理解していないことがいくつかあります。

  1. spnego.prompt.ntlm は、Kerberos をサポートしていないクライアントの基本認証を有効にします。このパラメータに推奨される値とその理由は?
  2. spnego.allow.basic は、Kerberos 認証に加えて基本認証を提供します。基本認証のリクエスト資格情報が安全ではないことを理解しています。このパラメータに推奨される値とその理由は?
  3. spnego.allow.unsecure.basic. 基本認証が有効になっている場合、その値は false でなければならないと思いますが、よくわかりません。
4

1 に答える 1

1

パラメータの値は、ユース ケースによって異なります。厳密な kerberos/spnego のみの環境 (最も安全ですが、すべてのクライアントとユーザーが kerberos/spnego を有効にする必要があります) を使用している場合は、次を使用します。

  • spnego.prompt.ntlm=falseは、kerberos のみを許可するためです
  • pnego.allow.basic =falseは、kerberos のみを許可するためです。
  • spnego.allow.unsecure.basic=false spnego.allow.basic=falseであるため、spnego.allow.unsecure.basic=false は関係ありません

kerberos/spnego に加えて追加の認証メカニズムを許可する場合は、NTLM および/または基本のいずれかを決定する必要があります。NTLM はこのライブラリでサポートされていないため、残っているのは Basic だけです。

  • spnego.prompt.ntlm=trueは、非 spnego/NTLM のみのクライアントに対して基本を許可するためです。
  • spnego.allow.basic=trueは、非 spnego クライアントに対して Basic を許可するためです。
  • spnego.allow.unsecure.basic=false HTTPS を介した基本認証を強制します(これを行わず、ここで値を true に設定すると、資格情報が暗号化されずにプレーンテキストで送信されます。これは望ましくないと思います)
于 2014-05-03T19:23:40.817 に答える