Tomcatで使用するためにKerberos認証を実装し、Kerberos委任もサポートするApacheモジュールはありますか?
私はすでにmod_spnegoを見てきましたが、プリンシパル名のみを保持して作成したSSPIコンテキストを破棄します。代わりに、Tomcatに送信されたチケットの委任を可能にするモジュールを探しています。つまり、認証のために送信されたサービスチケットを取得し、サーバー側を使用してユーザーに代わって別のサービスにアクセスします。
編集:明確にするために、GSS / SSPIコンテキストを使用してWin32で偽装する必要があるため、レガシーコードが別のサーバーに接続するときに、委任された資格情報が使用されます。
WAFFLE (Windows Authentication Functional Framework) は、v1.4beta からその機能を提供するようになりました。
基本認証またはネゴシエート認証のいずれかを使用して、ネイティブ Windows API を使用してユーザーを認証する ServletFilter を提供します。その後、ユーザーは偽装される可能性があり、ネイティブ API 呼び出しは、偽装されたユーザーのアクセス トークンを使用して実行されます。
JAAS レルムを使用し、kerberos 5 JAAS モジュールを使用するのはどうですか?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html
少しコーディングが必要なように見えますが、ピースはそこにあるはずです。
Here's a http://spnego.sourceforge.net/credential_delegation.html tutorial. It implements Kerberos/SPNEGO as an HTTP Servlet Filter and supports credential delegation.