問題タブ [jaas]

本当にこれで私の髪を引き裂きます。SpringWebアプリケーション用にJAAS認証プロバイダーを構成しています。次のようにBean定義を作成しました。

JAASのlogin.confファイル：

Springが初期化されると、Beanが正しく構成されます。ただし、Webアプリケーションにログインしようとすると、次のエラーが発生します。

このエラーメッセージはSpringのソースコードのどこにも見つかりません。エラーメッセージ自体はまったく役に立ちません。これを引き起こしている可能性のあるアイデアはありますか？

JSF Web アプリケーションの認証と承認を実装するための最良の方法は何ですか? できれば、プリンシパルを必要とする EJB を呼び出す必要があるため、引き続きコンテナー ベースのセキュリティを使用したいと考えています。

フォームベースの認証が JSF との大きな闘いであることは理解していますが、おそらく PhaseListener などをプログラムによるログオンと一緒に使用して、ユーザーを認証することはできますか?

私がむしろ見なければならない他の方法はありますか？

私はクライアント IP とユーザー ID およびパスワードを JAAS ログイン ページから Web コードの JAAS ログイン モジュール実装に渡す方法を検討してきました。JAAS では、ユーザー ID とパスワードのみをログイン モジュールに渡すことができます。私の考えは、IPアドレスをユーザーIDに追加してフォーム送信を呼び出すJavaスクリプトコードを用意することです。これを行うための適切な Java スクリプト コードがありません。手伝ってくれますか？

Web ページには、j_userid と j_password の 2 つの入力フィールドがあり、JAAS コードはこれらを見て認識しています。フォームを送信する前に、j_userid フィールドに IP アドレスを追加するには、どの JavaScript コードを使用できますか。「ip-address#userid」を考えていたので、ログイン モジュールでユーザー ID から IP アドレスを削除しました。

私は JAAS LoginModule を実装するコードを使用しており、commit メソッドでユーザー UUID を使用してプリンシパルを設定しています。

しかし、何らかの理由で、EJB コンテキストからユーザーにアクセスすると、次のようになります。

期待していた userUUID ではなく、ユーザーのログイン名を受け取りました。

カスタムプリンシパルを実装する必要がありますか、またはこれを解決する方法はありますか?

ありがとうございました！

kerberos+Java の問題で私を助けてください。Kerberos を使用して Windows Active Directory に対して認証する単純な Java プログラムがあります。次の Java コードは問題なく正常に動作し、true- を出力します。

レルムと kdc を手動で指定する代わりに、krb5.conf ファイルへのパスを指定すると、「Null realm name (601) - default realm not specified」というエラーが発生します。以下はコードです-

krb5.conf の内容は次のとおりです。

次のコードは、Java + Kerberos を使用して Windows AD サーバーを認証するためのもので、正常に動作します。

上記は単なるテストプログラムです。実際のコードは tomcat webapp で実行されます。私が直面している問題は、krb5.conf ファイルが変更された場合、以前のバージョンの krb5.conf で認証が成功した場合、同じことが tomcat に反映されないことです。新しい変更は、Tomcat の再起動時にのみ反映されます。

JVM を再起動せずに最新の変更を取得できるように、JVM を指定して krb5.conf をリロードする方法があるかどうかを知りたいです。

負荷の高い Web サーバーで JAAS を使用しています。構成ファイルはファイルからロードされ、

プロファイリング中に、ログイン試行ごとに構成がファイルから読み込まれることに気付きました。これは回避しようとしている I/O 操作です。とにかくJAAS構成をメモリに保存する方法はありますか?

Kerberos 5 を使用して AD サーバーに対してユーザーを認証し、次に LDAP を使用してセキュリティ制約に対する承認のためのロールを取得する Tomcat 構成があります。

server.xml には次のものがあります。

jaas 設定ファイルには次のように記述されています。

Kerberos 認証はうまく機能します。ただし、後続のフェーズ (承認に使用される LDAP からロールを取得する) では、serviceCredential (パスワード) が LAN 上でクリア テキストで渡されます。

パスワードを平文で送信しないようにする方法はありますか? おそらく、serviceUser/serviceCredential 情報の代わりに Kerberos チケットを使用して LDAP にアクセスし、役割を取得する方法があります (?)...

誰？

現在、Kerberosを介して認証を追加する必要がある組み込みjetty6.1.14サーバーを実行するアプリケーションがあります。私はKerberosを初めて使用します。これにより、タスクがおそらく100倍難しくなります。私はインターネットを調べて、それが可能であるかどうかについて矛盾する報告を見つけましたが、どのように進めるかについてのガイダンスを提供することはあまりありません。

サーバーは基本的にKerberosを介してユーザーを認証できるようになりましたが、クライアントにKerberosチケットを自動的に送信させる方法を見つけることができません。fromauth-methodを使用する必要がありますが、これにはヒントがあります。文書化が非常に不十分なフィルターを使用している。

私の質問-そしてそれが少し曖昧であることをお詫びします、私はこれほど長い間憤慨していません-Jetty 6のログインフォームなしでKerberos認証をプラグインするためのガイダンスを要求することですか？それとも私は運が悪いのですか？誰かがこのタイプの認証を桟橋6に追加しましたか？

標準の JAAS/コンテナ ベースのセキュリティを使用して、クライアント アプリケーションを EJB に接続する認証操作を拡張する方法はありますか? ユーザーを認証するためにユーザー名以上のものを使用する方法を探しています (この場合、ドメイン名も必要です)。理想的には、SessionContext.getCallerPrincipal() を使用して、EJB のユーザー名とドメイン名の両方にアクセスできるようにしたいと考えています。

それが答えにまったく影響する場合、私はGlassfishを使用しています。カスタム・ログイン・モジュール/カスタム・レルムを作成する必要はありますか? また、何をすべきですか?