問題タブ [kerberos]

インターネット上の Web サービスに Brokered Kerberos Authentication を使用することはできますか? 既に Active Directory がある環境の Web サービス セキュリティを検討しています。既存のアーキテクチャーが原因で、Web サービスはかなりおしゃべりになり、私はこのアーキテクチャーを制御できません。1 つのビジネス プロセスを実行するには、最大 6 つの Web サービス呼び出しが必要になる場合があります。

複数回認証することと、これによって発生するオーバーヘッドが懸念されます。ブローカー Kerberos 認証に関する私の最初の読みから、ユーザー資格情報が提供されると、Kerberos セキュリティ トークンが返され、Web サービス呼び出しごとに認証は必要ありません。

ユーザー資格情報が Web サービス呼び出しを介して Active Directory に渡され、Kerberos トークンが返されるシステムを想定しています。このトークンは、その後のすべての Web サービス呼び出しに使用されます。

これは可能ですか、それとも接線に向かっていますか? 接線に向かっている場合、これに適したアプローチはありますか? Microsoft Web Service Security: Scenarios, Patterns and Implementation Guidance for WSE 3.0 を読み終えましたが、まだ少しわかりません。

提供されたユーザー名、パスワード、およびドメイン名を使用して、ユーザーがプライマリドメインコントローラーで正常に認証されたかどうかを示すブール値を取得するにはどうすればよいですか？認証は、Windowsドメインコントローラー用のKerberosプロトコルを使用して実行する必要があります。よろしくお願いします、ダン

Windows ドメインの複数のマシンでイントラネット http アプリケーションを実行しています。IE 7 を使用すると、Kerberos 認証を使用するように構成でき、中間マシンの 1 つを委任に対して信頼できるようにする方法を見つけたので、すべてが機能します。

私は調査し、Firefox 3.0.10 で Kerberos を使用できるようにしました。

• about:config に移動します
• フィルターするnetwork.negotiate
• 更新network.negotiate-auth.delegation-urisしnetwork.negotiate-auth.trusted-uris 、次のエントリ (カンマ区切り):http://jupiter2000/trimbrokerclient,http://johnxp/fileservicedemo

これを実行し、Firefox を再起動しました。LAN で上記のサイトを参照すると、ユーザー名とパスワードの入力を求められます。それらを入力して Web ページが読み込まれた場合でも、表示されるコードがアプリに含まれています。有効な認証方法であり、IE が使用されているときのように Kerberos ではなく、NTLM のままです。

私のこのイントラネット アプリケーションで Firefox を使用できるようにする方法について誰かコメントしてもらえますか? ありがとうございました。

ps 上記の名前は異なりますが、アプリは同じです。JUPITER2000 は IIS 6.0 です。JOHNXP は IIS 5.1 です。

取得を通じて、認証と承認が必要な製品が多数あります。製品には Web サイトとクライアント側アプリケーションが含まれ、クライアント側アプリケーションはいくつかの Web サービスを使用します。私たちは .Net ショップであり、サーバーは Server 2008 を実行し、クライアントは XP SP を実行します?? 以降。

製品のユーザーは私たちの組織の一部ではなく、スタンドアロン PC を持つ単一のユーザーから Active Directory などを実行している組織内のユーザーまで実行されます。

現在、共通の認証または ID ストアはなく、私たちはそれを改善しようとしています。私たちの目標は次のとおりです。

• すべての製品で単一のユーザー名とパスワード (または証明書)。
• 理想的には、シングル サインオン (クライアント アプリから Web サイトを起動する場合は簡単ですが、ユーザーが最初に Web サイトにログオンし、後でクライアント側アプリを起動する場合はおそらくそうではありません)。
• プラス通常; 堅牢でスケーラブル...

ほとんどの企業と同様に、リソースは限られており、スケジュールはタイトです。

推奨される認証パスの 1 つは Kerberos です。これは、クライアント アプリが Web サービスに対して認証するためのおそらく理想的なルートですが、ユーザーがユーザー名とパスワードを送信し、Web サーバーが発券を担当します（その後、チケットをCookieに保存しますか？）。単一の ID ストアと、ユーザー名とパスワードを取得し、並べ替えられたハッシュと比較して、カスタムの時間ベースのセキュリティ トークンを発行する独自の認証サービスを使用する方がよいと思います。多分SqlMembershipProviderを使用しますか？

ここまで読んでくれた人に感謝します。Kerberos はこのシナリオに最適ですか、それとも別の方法を検討する必要がありますか? 適切でない場合、その理由は何ですか?

承認のために AD LDS も検討していますが、この投稿はすでに十分に長いと思います...

アーキテクチャでケルベロスを利用することを計画しています。この技術が持つ認識されている、または実際の利点と、代替手段があるかどうかを知りたいです。

.net クライアント側と Java サーバー側があることに注意してください。通信はメッセージング バスと SOA を介して行われます

ここで運を試してみようと思いました。SOの以前の関連する質問を含め、そこで見つけることができるほぼすべてのソリューションを試しました。私は途方に暮れています。

当社のイントラネット サイトでは、ドイツのユーザーには常にセキュリティ プロンプトが表示されます。他のすべての場合、正常に機能します。IE の設定はすべて同じです。

プロンプトを無効にする正しい方向に私を向ける良い解決策は大歓迎です。

参加サーバーの一部が Windows (IIS) ボックスになる単純なシングル サインオン シナリオを実装しようとしています。これには SPNEGO が適しているようです。

シナリオは次のとおりです。

• ユーザーは、自分のユーザー名とパスワードを使用して SSO サービスにログインします。私は何らかのメカニズムを使用して彼を認証します。
• しばらくして、ユーザーはアプリ A にアクセスしたいと考えています。
  • アプリ A に対するユーザーの要求は、SSO サービスによってインターセプトされます。SSO サービスは SPNEGO を使用して、ユーザーをアプリ A にログインさせます。
    • SSO サービスがアプリ A の Web ページにアクセスし、「WWW-Authenticate: Negotiate」応答を取得します。
    • SSO サービスは、ユーザーに代わって "Authorization: Negotiate xxx" 応答を生成し、アプリ A に応答します。ユーザーはアプリ A にログインしています。
  • SSO サービスは、アプリ A に対する後続のユーザー リクエストをインターセプトし、Authorization ヘッダーを挿入してからアプリ A に渡します。

そうですか？

必要なものは 2 つあります (少なくとも今考えられることは):

• ユーザーに代わって "Authorization: Negotiate xxx" トークンを生成する機能 (可能であれば Python を使用)
• Python で「Authorization: Negotiate xxx」ヘッダーを検証する機能 (プロジェクトの後半)

system.net.credentialcache.defaultcredentialsを使用して現在のユーザーのクレデンシャルをWebサービスに渡すと、情報はどちらの方法で転送されますか？クリアテキストになるとは思わないので、クレデンシャルを暗号化する必要がありますが、どうですか？

当社のお客様は、当社のソフトウェアをインストールする際に、サービスを 1 つのボックスで実行し、データベースを別のボックスで実行する「分割インストール」を選択することがよくあります。サービスが他のサービスと通信する場合や、データベースに別のデータベースと通信する必要があるストアド プロシージャが含まれている場合があります。

これは、Kerberos と SetSPN の暗い世界に私たちを導きます。

Windows でサポートされているさまざまな認証レベルの違いを説明するメールをサポート担当者に送信しようとしていましたが、偽装と委任の違いについて私の知識が少し曖昧になっていることに気付きました。ケルベロスに。

誰でも私を啓発できますか？

組み込みの WCF サービス ホストと、Visual Studio 2008 の組み込み開発 Web サーバーによるホスティングで動作する小さな WCF Web サービスがあります。

これらのホスティング環境では、サービス メソッドを呼び出すために WCF テスト クライアントに依存しています。

現在、次のテスト段階で問題が発生しています。

WinXP 開発マシンの IIS 5.1 でホストしていますが、おそらく問題は、WCF テスト クライアントを使い続けることができないことだと思います。何が起こっているかは次のとおりです。

ケース 1: 「匿名アクセス」がチェックされている (有効)

WCF テスト クライアント UI が適切に表示され、WebMethods と [INVOKE] ボタンが表示されます。しかし、INVOKE をクリックすると、Windows 認証を必要とするバックエンド データ ストア (サード パーティ製品) に接続できません。product.DLL から返されたエラーを投稿できますが、関連性はないと思います。

ケース 2: 「匿名アクセス」がチェックされていない (無効)

WCF テスト クライアント UI は、正しく初期化することさえできません。これを調査したところ、MEX (WS-Metadata Exchange) には「匿名アクセス」が必要であり、(明らかに) WCF テスト クライアントには MEX が必要であることがわかりました。返されるエラーの主なスニペットを次に示します。

バインディング オプション、メッセージ セキュリティなどの説明がたくさんあり、正直に言って理解できません。以下は私の見解ですが、皆様のご意見をお待ちしております。

(a) Windows 認証を使用するように WCF Web サービスを構成する必要があることを知っているため、IIS でサービスをホストしている場合、WCF テスト クライアントを引き続き使用することはできないと判断しました。それが私にとって有用であるよりも効果的に長生きしたこと。Anonymous なしでは WCFTestClient は機能しないため、時間をかけて Web クライアントを作成する必要があります。

（また）

(b) WCF テスト クライアントとホステッド サービスが適切に構成されていれば、それを使用することができます (このための特別な構成手法が何であるかはわかりません)。

どちらが正しい？WCFTestClient の使用をやめる時が来ましたか、それとも両方の方法で使用する方法はありますか? アドバイスをいただきありがとうございます。

編集: 2009 年 6 月 11 日

他の誰かがこの質問について私を助けるために私が提供できるものは他にありますか?