問題タブ [gssapi]

ユーザーがSASLおよびGSSAPIを介してActive Directoryに対して認証するSVNSERVEを介して、WindowsベースのSubversionセットアップをセットアップしています。一部のプロバイダーは、すぐに使用できる統合 AD サポートを備えた Subversion のパッケージ済みインストールを提供していることを知っていますが、私の状況ではそれらはオプションではありません。

Windows では Subversion 1.7.4、Windows では MIT Kerberos V5 (3.2.2) を使用しており、Win64 ボックスの Tortoise SVN クライアントからリポジトリにアクセスします。SVNSERVE は、ドメイン アカウントでシステム サービスとして実行されています。

私のリポジトリサーバーには、すべての基本的な部分が整っていると思います（svn、Kerberos、SVNSERVEがSASL認証を延期し、メカニズムにGSSAPIを使用するように構成されています）。リポジトリにクエリを実行しようとすると、「認証メカニズムをネゴシエートできませんでした」という結果になるところまで来ました。これは、リポジトリ ホストが Kerberos にクエリを実行するための SPN を定義していないため、この時点で予想されることです。Network Capture は、spn「svn/*FQDN_of_host_omited* は認識された SPN ではありません。これは、まさにこの時点で私が期待していることです...

したがって、SPN が必要であることはわかっていますが、適切なSPN セットを取得するには、このテスト環境で自分で行うことができないため、少しガイダンスが必要です (要求する必要があるため、適切な組み合わせを要求する必要があります)。以下にリストされている SPN が必要であると私は信じていますが、誰かが私が正しい方向に進んでいることを確認していただければ幸いです。SPN が純粋にホストに対する svn サービスに必要なのか、指定されたアカウントを介したホストに対する svn サービスに必要なのか、あるいはその両方に必要なのかについて混乱しています。

したがって、次のいずれかまたはすべてが必要になると思います。あるとすれば、正しい/間違っているのはどれですか?:

助けてくれてありがとう、うまくいけば、質問はあまりにも愚かではありません:)

私はしばらくの間、c/c++ アプリケーションで GSSAPI を使用することに取り組んできました。明らかに、私はグーグルで多くの研究をしなければなりませんでした。私が発見した最も興味深いドキュメントの 1 つは、Sun の古い Web サイトにありました。Oracle が Sun を買収した後、古い Web サイトはなくなりましたが、なぜかこの情報は存在しています。 http://docs.oracle.com/cd/E19253-01/816-4863/index.html 驚いたことに、Oracle のドキュメントに上記の URL へのリンクが見つかりませんでした。コンテンツにはいくつかの PDF ファイルも含まれており、幸運にもラップトップに保存しています。

上記の URL には、c/c++ で SASL を使用するための優れたガイドもあります。

コンテンツは、サンプル ソース コードを含む tar ファイルに言及していました。現在のサイトのコンテンツによると、このファイルはhttp://www.sun.com/download/products.xml?id=41912db5で入手できるはずですが 、残念ながら、現在サイトでそれらを見つけることができません。

このコンテンツは、GSSAPI / Kerberos / PAM / SASL を新たに始める ac/c++ プログラマーにとって優れた出発点です。

オラクルの現在のサイトを見ると、コンテンツは現在「偶然」置き去りにされており、すぐになくなると強く信じています。

ここで、stackoverflow にアクセスするすばらしいハックに質問します。

1. 誰もがそのメリットを享受できるように、どうにかしてコンテンツをどこかに複製することはできますか?
2. 私が言及している tar-ball のコピーを持っている人はいますか? 喜んで共有しますか？
3. 誰でも簡単に利用できるようにするには、これらの PDF をどこにアップロードすればよいですか?

このコンテンツは本当に貴重であり、C/C++ での GSSAPI の使用に関するこれほど骨の折れるほど明確な情報を提供する Web ソースは他にありません。これについて何かできることがあれば、すぐにやってください。上記の URL もすぐになくなると思います。

前もって心から感謝します。他の多くの人も感謝することを約束します。

編集: Oracle のサイトを少し探し回ったところ、PDF の 1 つへのリンクを発見しましたが、新しい名前が付けられました: Oracle Solaris Security for Developers c++

私の Linux サーバー グループは Kerberos 認証を使用しています。Net::SSH2を使用してサーバーの 1 つに接続しようとすると、 とauth_list()が返さgssapi-keyexれますgssapi-with-mic。ただし、auth()どちらもサポートしていません。

SSH を介したGSSAPI認証を単純に (たとえば、Expect.pm を使用せずに) サポートする Perl モジュールはありますか?

アプリケーションでgssapi32.dllを使用しようとしましたが、アプリの起動時に例外が発生します

「HTTP/proxy.domain.com@domain.com」のような名前Kerberosチケットツールでこの名前を見ました

しかし、「クレデンシャルキャッシュが見つかりません」と表示されます

多分誰かがすでに同様の問題を抱えていますか？そして助けることができます

Windows 7（x64）MSVS C ++ 2010 Express

アドバイスありがとうございます＆私の英語をごめんなさい

-編集されたありがとう友達-私は提案された道を進むと思います

ldap_sasl_bind_s はGSSAPI 経由の NTLM 認証をサポートしていますか? これは、基礎となる実装 ( NTLM 認証の GSSAPI ) によって異なるようです。Active Directory サーバーに対して NTLM 認証を使用しようとしています。

NTLMでWindowsクレデンシャルを使用して、ActiveDirectoryのコンテキスト（クライアントとサーバーは両方ともウィンドウ）を作成しようとしています。

これは私のコードです：

そして、私のjaas_ntlm_configuration.txtファイルには次のものが含まれています。

コンテキストを開始しようとすると、次の例外が発生します。

誰かがこの問題で私を助けることができますか？

Apache アクティブ ディレクトリ環境で mod_auth_kerb を介して SSO を実装しましたが、期待どおりに動作します。ただし、次の知識が私を悩ませています：

2 台のクライアント マシンから Kerberos で保護されたページを要求しました。1 人のユーザーは Kerberos セットアップ ドメインに属し、もう 1 人のユーザーは他のドメインに属していました。次に、2 台のマシンの HTTP パケットを比較しました。両方のマシンで、Kerberos で保護されたページの要求が送信された後、サーバーは次の HTTP パケットで応答します。

HTTP/1.1 401 Authorization Required Date: Wed, 05 Sep 2012 14:25:20 GMT Server: Apache WWW-Authenticate : ネゴシエート WWW-認証: Basic realm="Kerberos Login" Content-Length: 60 Connection: close Content-Type: text/html; charset=iso-8859-1

ただし、サーバーからの上記の応答の後、Kerberos-setup ドメインに属するクライアント マシンのブラウザーはWWW-Authenticate : Negotiate 'token'で応答しますが、他のクライアント ブラウザー (他のドメインに属するユーザー) はまったく応答しません。 .

私の理解では、他のドメインに属するクライアントも独自の TGT+Session キー トークンで応答する必要があり、Active Directory はこれを拒否する必要がありました。しかし、なぜこのクライアントがサーバーのWWW-Authenticate : Negotiateチャレンジにまったく応答しないのかは、私の論理を超えています。さらにややこしいのは、サーバーの HTTP 応答 (上記) に、リンク先のドメインに関する情報が含まれていないことです。

では、正しいドメインに属するクライアント ブラウザが、サーバーのWWW-Authenticate : Negotiateチャレンジに応答する必要があると判断する根拠と、他のドメインに属するクライアントが応答しないと判断する根拠は何ですか?

注 : 両方のクライアント マシンに Windows 7 があり、アクティブ ディレクトリは Windows 2008 サーバーです。

mod_auth_kerb の SSO の実装を理解しようとしていますが、この特定の知識がその鍵となります。

Kerberos システムを使用せずに GSSAPI 認証メカニズムを使用することは可能ですか?

GSSAPI は、たとえば Kerberos に非常に近い SPKM をサポートしています。たとえば、それを使用することは可能ですか？

私が Kerberos を使用したくない主な理由は、洗練された前提条件を実行する必要があるためです。ユーザーが実行するのはそれほど簡単ではない可能性があるため、ここで代替手段が必要です。