問題タブ [gssapi]

I am using gssapi in C for the first time. I am trying to reconstruct example on Oracle doc http://docs.oracle.com/cd/E19683-01/816-1331/sampleprogs-1/index.html. In my .c file I call gss_str_to_oid(&min_stat, &tok, oid); and get an undefined reference error. I included #include "gssapi.h" at the top of my .c file. In gssapi.h there is a function call

So what am I doing wrong? I thought that if you included #include "gssapi.h" it would give me access to function in gssapi. Both files are in my src folder. So what am I doing wrong. I am using eclipse and from what in my makefile under targets it says all: GSS-API. I am including most of my code below.

main

gssapi.h

現在、ノードに接続したいときは、次のようにするだけですssh username@node。すべて正常に動作します。(Kerberos に感謝 :-))指定されたホストに接続する単純な python スクリプトを開発しようとしていますが、そのスクリプトを使用して接続できません。
次の私のスクリプト：

しかし、私はこのエラーを受け取りました:

私も試しました

受け取ったエラーは少し変わりました：

助言がありますか？ありがとう！

主な編集: 2015-05-27:とりとめのない投稿を残すのではなく、現在立ち往生している場所についてある程度の成功が更新された後....これに関するいくつかのポインターで実際に行うことができます-少し行き詰まりました....

「統合認証」用に構成された IIS Web サービスに対して認証する必要がある Linux アプリ サーバー (WebSphere) でいくつかのコードを実行していますが、Authorization: Negotiate トークンの作成に問題があります。また、このトークンを、後で作成する JAX-WS SOAP 要求の HTTP ヘッダーに入れる必要があることも言う必要があります。以前は WS-Security Username トークン プロファイルを使用していたので、SOAP 要求自体が機能していることはわかっていますが、問題なく機能していました。

私の問題は、initSecContext にあると思います。最初の呼び出しでコンテキストが「何らかの」方法で構成され、返されたトークン データがいくつかあるように見えますが、.isEstablished は false です。私が抱えている問題は、initSecContext 呼び出しをループに入れることです。これを行うと、IIS が接続を閉じるだけのようです。誰かが私にいくつかのポインタを与えることができます - 私は他のポスターや Oracle サンプルで使用されているアプローチを取っているようです (ただし、IBM/WebSphere サンプルは initSecContext 呼び出しを 1 回しか行わず、 .isEstablished をチェックしません。 Oracle のドキュメント)。

とにかく、私が得るエラーは以下のとおりです (Ready: プロパティは、initSecContext がループする必要があることを明確に示しているようです - 少なくとも私には);

私のコードは以下です。

このドキュメントは、initSecContext でループする必要がないことを教えてくれますが、.isEstablished は false を返します: http://www-01.ibm.com/support/knowledgecenter/SS7K4U_8.5.5/com.ibm.websphere.zseries。 doc/ae/tsec_SPNEGO_token.html?cp=SS7K4U_8.5.5%2F1-3-0-20-4-0&lang=en

オラクルのドキュメントは私がすべきだと言っています：https://docs.oracle.com/javase/7/docs/api/org/ietf/jgss/GSSContext.html

私の唯一の躊躇は、Oracle ドキュメントから、アプリケーションの会話を開始しているように見えることですが、私がやろうとしていることは、トークンのみを取得することであり、後で JAX-WS を使用して自分の実際の Web サービス呼び出し (http ヘッダーの spnego/kerberos トークンを含む) - これが問題の原因ですか?

私の仕事は、Java GSS API を介して Kerberos 化された LDAP サーバーに接続することです。LDAP サーバーに接続してデータを取得できることを確認するために、接続、Kerberos 構成、接続パラメーターなどをテストするために使用する小さなサンプル アプリがあります。このためのコードを以下に示します。

testkerberized.properties ファイル内で、「ldapHost」プロパティは「ldap://dv2k8ad.2k8.hlp.net:389/dc=2k8,dc=hlp,dc=net」と定義されています。

今、このアプリを Java 7 で実行すると、魅力的に動作します。Kerberos 認証が成功し、データが LDAP サーバーから正常に取得されます。ただし、Java 6 で実行することはできません。次の例外が発生し続けます。

module.commit() が成功し、サブジェクトが正常に取得されたことは注目に値するため、問題はありません。しかし、KrbError メッセージの sname フィールドがオフになっていることに気付きました。ldap/2k8.hlp.net と表示されていますが、ldap/dv2k8ad.2k8.hlp.net である必要があります。

これに続いて、Wireshark セッションを実行して、送信されるすべての Kerberos パケットをキャプチャし、Java 6 と Java 7 の両方で TestKerberizedLdap を実行しながらパケットをキャプチャしました。どちらの場合もプログラムが AS-REP に成功したため、TGT が正常に取得されました。 . ただし、KDC に送信される TGS-REQ の値は異なります。Java 6 によって送信されたサーバー名は ldap/2k8.hlp.net であり、Java 7 によって送信されたサーバー名は ldap/dv2k8ad.2k8.hlp.net でした。

Java 6 が LDAP ホスト名の削除を選択する理由がわかりません。誰かが回避策または修正 (Java の更新を除く) を知っていれば、どんな助けにも本当に感謝しています。

pip を使用して GSSAPI モジュールをインストールしようとしていますが、解決方法がわからないというエラーが表示されます。

メインの GSSAPI 共有ライブラリが見つかりませんでした。GSSAPI_MAIN_LIB を自分で設定するか、ENABLE_SUPPORT_DETECTION を「false」に設定してみてください

LDAP3 認証のために Python 2.6 で動作するには、これが必要です。

次のことを達成する方法に関するヒントをいただければ幸いです。

アプリケーション A は、特定のユーザーの SOAP Web サービス (アプリケーション B) を呼び出す必要があります。アプリケーション A は、独自の内部 Web セキュリティ プロセスを使用してユーザーを認証し、ユーザーの ID を認識しています。アプリケーション B には、ユーザー ID と Kerberos チケットを渡す必要があります。アプリケーション A は、ユーザーに代わって KDC からチケットを取得し、アプリケーション B に渡すことができますか?

Constrained Delegation、S4U プロキシなどについてよく読んでいますが、どこにも行きません。これはJava 1.6で実行されています。JAAS と GSS-API を使用する必要があると考えています。誰かが洞察を提供できるこのようなことをしましたか? Active Directory の設定が正しいかどうかさえわかりません。

前もって感謝します。

GSSAPI を使用して LDAP に接続する場合

私は得た