問題タブ [spn]

私の環境では、私の SharePoint 2010 は IIS7 を搭載した Windows Server 2008 R2 で実行されています。SPN を追加した後の予想される動作は、既定でユーザーに 3 回プロンプトが表示されることでした。プロンプト時間を設定する方法は? 2回か5回かな？

現在、SourceForgeのSPNEGO ライブラリを使用して、SPNEGO で保護された Web サービスに Java クライアントを実装しようとしています (サーバーは同じライブラリを使用しています)。正常に認証できません。リクエストは常に次のようになります

これは、不適切なホスト名を使用してブラウザーから Web サービスにアクセスしたときに発生する症状に似ています。実際、Wireshark でのデバッグによって、クライアントが要求で間違った SPN を送信していることが明らかになりました。SPNservice-test.client.comとして登録されているに送信します。およびADNS にレコードがありますが、Windows ドメインに として登録されていますserver-1234.client.corp。リクエストを送信してもhttp://service-test.client.com(一致するHostヘッダーを参照)、Java がチケットをリクエストする SPN は「内部」Windows 名です。

Chrome または IE から送信された同じものには、一致するHostヘッダーと SPN があります。

私のコードや SPNEGO ライブラリではこの変換は行われていないので、JRE のどこかで行われているに違いないと推測します。JGSSのソースを調べてみたのですが、ちょっとわかりにくいです。この翻訳をスキップして正しい SPN のチケットを取得する方法を誰か教えてもらえますか?

クライアントコード:

Sharepoint 2010 を使用するために、Java に Kerberos 認証を実装しようとしています。
すでに大量の構成が行われています: SPN、委任、アクセス許可、ネットワーク。Kerberos の org.ietf.jgss 実装を使用します。

現在の状態は次のとおりです。IE は正常に動作しますが、Java アプリは正しく動作しません。

現在、ほとんど唯一の違いは、イベント ビューアー\Windows ログ\セキュリティにあります。
Internet Explorer でログインすると、次のように表示されます。

アカウントが正常にログオンしました。
...
新しいログオン:
セキュリティ ID: COMPANYDOMAIN\myusername
アカウント名: myusername
アカウント ドメイン: COMPANYDOMAIN
...
詳細な認証情報:
ログオン プロセス: Kerberos

JavaApp でログインします。

アカウントが正常にログオンしました。
...
新しいログオン:
セキュリティ ID: ANONYMOUS LOGON ------> ???
アカウント名: myusername
アカウント ドメイン: COMPANYDOMAIN.NET ------> .NET(!)
...
詳細な認証情報:
ログオン プロセス: Kerberos

Wireshark を使用すると、エンドポイントでチケットが正常に受け入れられたことがわかります。暗号化されたトークンのサイズ以外には違いはありません。さらに、SharePoint は私の Java クライアントで動作します。なぜ匿名ログインで機能するのかという質問は異なります。どこかでオフにする必要があります。

主な質問は、アカウント名とドメインが有効であるのに、セキュリティ ID が「ANONYMOUS LOGON」であるのはなぜですか? 委任\偽装の問題? しかし、IE は Active Directory の外にあるマシンからでも正常に動作しています。

必要に応じて、ネットワーク トラフィック、SPN、アプリ プール、アクセス許可、AD 構成などの追加情報を提供できます。

===========================

解決済み: この問題は、Active Directory ユーザー アカウントのプロパティ ([アカウント] タブ、[アカウント オプション] セクション) で [Kerberos 事前認証を必要としない] チェックボックスをオフにすることで解決されます。

私は、あらゆる種類のアプリケーション認証に Active Directory を使用する組織で働いています。

最近、データベース接続用に Sql Server を使用して、ASP.NET 上に Web アプリケーションを作成しました。開発プロセスでは、Sql Server 2008 への接続にウィンドウ認証を使用しました。アプリケーションが完成したら、IIS でこのアプリケーションをホストするときが来ました。

課題

このアプリケーションをサーバー上でホストするために、ウィンドウ サービス アカウントを使用するように依頼されました。あらゆる種類のユーザー名パスワードをどこでも使用することは想定されていません。Active Directory 主導型およびウィンドウ認証主導型である必要があります。

今、私はこれを進める方法がわかりません。偽装を構成するために Web 構成を変更する必要がありますか、それとも接続文字列を変更する必要がありますか?

ウィンドウ認証を使用する必要があることだけはわかっています。

ガイドラインは大きな助けになるでしょう

PowerShell から Setspn.exe を呼び出す必要があります。しかし、試行は失敗します:

しかし、cmd を起動することはできますし、コマンド ラインから setspn を呼び出すこともできます。

現在、GSSAPI を使用してクロスプラットフォーム アプリケーションを kerberizing しています。UPN と SPN の違いについては明確ではありませんが。

開発環境は、CentOS 6.4 上の Samba4 AD DC サーバーであり、Windows サーバー 2008 R2 がドメイン内のメンバー ボックスであり、たとえば、EXAMPLE.COM です (Win2008 を DC として直接使用しない理由に興味があるかもしれません。前述のように、アプリケーションははクロスプラットフォームなので、現在この設定でテストしています. 通常の Win DC-Linux MEM 設定は問題なく動作します.) アプリケーションを実行する新しいユーザーを作成しfoobar:usersます。UPN などを使用foobar@EXAMPLE.COMして Kerberos に対してアプリケーションを認証すると、受信し続けます。

Kerberos: プリンシパルがサーバー エラーとして機能しない可能性があります

Samba メールリストのスレッドに従ってapp/dc.example.com、UPN のようなサービス プリンシパル名を作成する必要があると思います。samba-tool

今回は別のエラーが表示されます

Samba4 KDC - hdb にそのようなエントリが見つかりません

私の質問は、UPN と SPN の違いは何ですか? によってsamba-tool spn list foobar、それはservicePrincipalNamefoobar を持ってapp/dc.example.comいると言います。UPN を SPN に関連付けるにはどうすればよいですか?

どうもありがとうございました。

http://alchemy.cs.washington.edu/spn/にある Sum Product Network コードを実行しようとしています。

これを自分の Mac (ver 10.8.4) で実行しようとすると、次のエラーが発生します。

これは、私が与える np の任意の値に対して発生します。これは SPN コードの問題ではなく、MPJ-Express で行っていることだと思います。MPJ-Express のバージョン 0.40 と 0.37 の両方を試しましたが、同じ結果が得られました。

御時間ありがとうございます。

SPNEGO を有効にして桟橋を埋め込んだプロジェクトがあります。開発目的でこのプロジェクトをローカルで実行できるようにしたい (SPNEGO を有効にして!)

私の質問は、SPN とキータブが特定のサーバーに関連付けられているのか、それともサービスの複数のインスタンスで同じセットを使用できるのかということです。

質問 1: コンピュータを再起動せずに setspn.exe を有効にする方法はありますか?

質問 2: SPN を設定し、サーバー上で WCF サービスを実行しました。クライアントは Kerberos を使用して接続し、クライアント側で Identity 要素を変更して再試行しました。Kerberos の代わりに NTLM を使用していることがわかりましたが、これで問題ありません。

WCF サービス構成ファイルで SPN を変更し、(登録された SPN を変更せずに) サービスを再実行したところ、クライアント側で Kerberos 認証が使用されていることがわかりました。WCF サービスの ID 要素を変更しても効果がないのはなぜですか? どうすればいいの？

注:認証を確認するためにフィドラーを使用しています。

サーバー側の設定ファイル:

クライアント側の設定ファイル: