問題タブ [kerberos]

次のコードは、Java + Kerberos を使用して Windows AD サーバーを認証するためのもので、正常に動作します。

上記は単なるテストプログラムです。実際のコードは tomcat webapp で実行されます。私が直面している問題は、krb5.conf ファイルが変更された場合、以前のバージョンの krb5.conf で認証が成功した場合、同じことが tomcat に反映されないことです。新しい変更は、Tomcat の再起動時にのみ反映されます。

JVM を再起動せずに最新の変更を取得できるように、JVM を指定して krb5.conf をリロードする方法があるかどうかを知りたいです。

Kerberos 5 を使用して AD サーバーに対してユーザーを認証し、次に LDAP を使用してセキュリティ制約に対する承認のためのロールを取得する Tomcat 構成があります。

server.xml には次のものがあります。

jaas 設定ファイルには次のように記述されています。

Kerberos 認証はうまく機能します。ただし、後続のフェーズ (承認に使用される LDAP からロールを取得する) では、serviceCredential (パスワード) が LAN 上でクリア テキストで渡されます。

パスワードを平文で送信しないようにする方法はありますか? おそらく、serviceUser/serviceCredential 情報の代わりに Kerberos チケットを使用して LDAP にアクセスし、役割を取得する方法があります (?)...

誰？

sys.utl_http パッケージを使用して、Oracle データベースから .NET Web サービスを呼び出しています。sys.utl_dbws パッケージでもテストしました。

これは、.NET Web サービスにセキュリティがない場合に問題なく機能します。ただし、sys.utl_http または sys.utl_dbws を使用して、Kerberos または NTLM 認証で .NET Web サービスを呼び出したいと考えています。

私たちは現在これに苦労しています。それを解決する方法についてのヒントはありますか？

特定のグループのみにログインさせたい Web ページがあります。

私は大学で働いており、Active Directory アカウントを使用しており、特定のグループのみがこの php ページ (Apache サーバー上) にアクセスできます。

一部の PHP コードでアクセスを制限できることはわかっていますが、シームレスなログインを実現したいと考えています。

誰もが職場で IE7 を使用し (適切な資格情報を渡すように構成されています)、コンピューターにログインする必要があります (ドメイン コントローラーにログインします)。

ユーザーがhttp://intranetにアクセスすると、以前にコンピューターにログインしたため、自動的にログインされます。

ユーザーがhttp://intranet.domain.comにアクセスすると、資格情報の入力を求められます。

認証には kerberos を使用し、承認には LDAP を使用する必要があることはわかっています。

シームレスな認証に成功した人はいますか?

内部Webサイトの1つに接続し、イベントビューアの[セキュリティ]タブを見ると、認証パッケージがNTLMであることがわかります。

認証パッケージがKerberosになるために何をする必要がありますか？

このWebサイトはIIS6を使用するASP.NETWebサイトであり、Windows認証を使用します

現在、Kerberosを介して認証を追加する必要がある組み込みjetty6.1.14サーバーを実行するアプリケーションがあります。私はKerberosを初めて使用します。これにより、タスクがおそらく100倍難しくなります。私はインターネットを調べて、それが可能であるかどうかについて矛盾する報告を見つけましたが、どのように進めるかについてのガイダンスを提供することはあまりありません。

サーバーは基本的にKerberosを介してユーザーを認証できるようになりましたが、クライアントにKerberosチケットを自動的に送信させる方法を見つけることができません。fromauth-methodを使用する必要がありますが、これにはヒントがあります。文書化が非常に不十分なフィルターを使用している。

私の質問-そしてそれが少し曖昧であることをお詫びします、私はこれほど長い間憤慨していません-Jetty 6のログインフォームなしでKerberos認証をプラグインするためのガイダンスを要求することですか？それとも私は運が悪いのですか？誰かがこのタイプの認証を桟橋6に追加しましたか？

多くのブログ投稿を検索しましたが、解決策が得られませんでした。

同様の種類のエラーを含む多くの投稿を見てきましたが、その場合は サーバー名:

HTTP/ドメイン名

ユーザーがサーバーにアクセスするためのチケットを取得できました。

しかし、サーバー名がnullのときにこの種のエラーが発生する理由が本当にわかりません。

エラーは

私の設定ファイルは以下のようなものです：

login.config

krb5.config

誰でもこれで私を助けることができますか？

前もって感謝します

C＃でコンソールアプリを使用してlists.asmxを呼び出し、「httpリクエストはクライアント認証スキーム「ntlm」で許可されていません。サーバーから受信した認証ヘッダーは「Negotiate, NTLM」でした。

環境：

• Kerberos は、Dev ではなく、QA & Production でオンになっています (愚かなことはわかっていますが、どのボックスも管理していません)。
• シェアポイント Web サービスにアクセスして、シェアポイント リスト (lists.asmx) からデータを取得します。
• サーバーはsslを使用しています。

qa 環境で次のようなエラー メッセージが表示されます (スタック トレースは画像にのみ表示されているため、貼り付けることはできません)。

リストへの直接ナビゲーションは、すべてのマシンから正常に機能します。

• コードは、kerberos が有効になっていない開発環境 (サーバー上) で動作します (有効にする必要がありますが、そうではありません。これを変更することはできません)。
• コードは、kerberos が有効になっているデスクトップ マシンからの運用に対して機能します
• コードは、Kerberos が有効になっている QA 環境では機能しません。ここでエラーが発生します

Webサービスを呼び出すには、これを行います（他のセキュリティ関連のコードは関係ありません）

私のapp.configは次のとおりです

背景 (関連する部分のみ): 大規模なイントラネット asp.net 2.0/3.5 アプリがあります。
Web サーバーは、AD ドメイン上の Windows Server 2003 です。
クライアントは Windows、IE 6-8 です。Windows ID から作成されたカスタム プリンシパルを使用した Windows 認証。Web サーバーは、ユーザーを特定の Web サーバーに転送する F5 NLB の背後にあります。(理由は弊社F5対応ケルベロスの制限です)。セッションのドロップ、タイムアウト、サーバーの過負荷などのシステム全体の問題はなく、一般的にすべてが正常に動作しています。

機能の 1 つに委任が必要です。ドメイン/Web サーバーから提供された Kerberos トークンを使用して、認証されたユーザーとしてネットワーク ファイル共有に接続しています。

SPN、ACL などは適切に設定されているようです。

99.x パーセントの確率で、すべてが機能します。私たちが目にしている問題は、更新時に、トークンが kerberos から ntlm に落ちるということです。Web サーバーのイベント ログにログインが表示され、1 回の呼び出しで次のようになっていることがわかります。

ログオン プロセス: Kerberos 認証 パッケージ: Kerberos

その後の呼び出し (通常は 10 または 20 ページの読み込み後) で、次のようになります。

ログオン プロセス: NtLmSsp 認証パッケージ: NTLM

その後のポストバックが NTLM になることがある理由について、何か洞察を持っている人はいますか?

ありがとう！