問題タブ [spnego]

Tomcatで使用するためにKerberos認証を実装し、Kerberos委任もサポートするApacheモジュールはありますか？

私はすでにmod_spnegoを見てきましたが、プリンシパル名のみを保持して作成したSSPIコンテキストを破棄します。代わりに、Tomcatに送信されたチケットの委任を可能にするモジュールを探しています。つまり、認証のために送信されたサービスチケットを取得し、サーバー側を使用してユーザーに代わって別のサービスにアクセスします。

編集：明確にするために、GSS / SSPIコンテキストを使用してWin32で偽装する必要があるため、レガシーコードが別のサーバーに接続するときに、委任された資格情報が使用されます。

Microsoft が利用している 2 つの WWW-Authenticate 追加機能は、私が現在認識しているものです。

• NTLM
• 交渉

Negotiate がサーバーから送信されると、一連の条件に基づいて Kerberos が使用されます

• イントラネット ゾーン
• IP ではなくホスト名を使用してサーバーにアクセスする
• IE の統合 Windows 認証が有効で、ホストが Firefox で信頼されている
• サーバーはブラウザに対してローカルではありません
• クライアントの Kerberos システムがドメイン コントローラーに対して認証されている

次に、サーバーとクライアントの間で Kerberos が試行されます。上記の条件が満たされない場合は、NTLM が試行されます。

私の質問は、サーバーが NTLM を送信してはならないことを示す方法はありますか? 私は現在、セッション内のリクエストを追跡することでこれを処理しており、NTLM メッセージを受信した場合、そのセッションの残りの期間、Kerberos と WWW 認証を無効にしています。

serverAのjetty6.1.12を使用して提供されるアプリケーションがあります。serverAは、spnegoフィルターを使用してカーバー化されており、ブラウザーから実行すると正常に実行されます。serverAのクラスの1つから別のサイト（serverB）にアクセスしようとしています。この新しいサイトは同じ認証スキームを使用しています。つまり、ユーザーがserverAのページを表示できる場合、serverBのページも表示できます。Webサーバー（serverA）からKerberosクレデンシャルを取得し、それを他の場所に渡す方法はありますか？

バグレポート（http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6549811）には、spnegoの委任がかなり前に修正されたと書かれているので、これを行う方法があるはずだと思います。

私はJava1.6を使用しています。serverBへのhttp呼び出しを行うために、apache commonshttpclient3.1を使用しています。

参加サーバーの一部が Windows (IIS) ボックスになる単純なシングル サインオン シナリオを実装しようとしています。これには SPNEGO が適しているようです。

シナリオは次のとおりです。

• ユーザーは、自分のユーザー名とパスワードを使用して SSO サービスにログインします。私は何らかのメカニズムを使用して彼を認証します。
• しばらくして、ユーザーはアプリ A にアクセスしたいと考えています。
  • アプリ A に対するユーザーの要求は、SSO サービスによってインターセプトされます。SSO サービスは SPNEGO を使用して、ユーザーをアプリ A にログインさせます。
    • SSO サービスがアプリ A の Web ページにアクセスし、「WWW-Authenticate: Negotiate」応答を取得します。
    • SSO サービスは、ユーザーに代わって "Authorization: Negotiate xxx" 応答を生成し、アプリ A に応答します。ユーザーはアプリ A にログインしています。
  • SSO サービスは、アプリ A に対する後続のユーザー リクエストをインターセプトし、Authorization ヘッダーを挿入してからアプリ A に渡します。

そうですか？

必要なものは 2 つあります (少なくとも今考えられることは):

• ユーザーに代わって "Authorization: Negotiate xxx" トークンを生成する機能 (可能であれば Python を使用)
• Python で「Authorization: Negotiate xxx」ヘッダーを検証する機能 (プロジェクトの後半)

Java Web アプリケーション (SPNEGO/Kerberos を使用) 用の Active Directory シングル サインオン認証システムを構築していましたが、すべてが Firefox または (報告によると) Safari で正常に動作しますが、Internet Explorer では例外が発生します。

実際、Windows のパッチがインストールされる前は、IE は機能していると思っていました。

私は、SPNEGOを使用してJavaベースのWebアプリのシングルサインオンを行うプロジェクトに取り組んでいます。現時点では、Jetty +SPNEGOおよびActiveDirectoryで正常に動作しているため、テストページにアクセスすると、ブラウザーが適切に構成されていれば、auth_userとNegotiateトークンを出力できます。

プロジェクトの次のステップは、そのユーザーとトークンを認証としてExchange Webサービスに渡して、リモートユーザーのExchangeディレクトリ（メール、連絡先など）にアクセスできるようにすることです。

JAX-WSを実行して、Services.wsdlファイルからスタブファイルを生成し、これらのクラスを使用してExchangeに接続できるようにしました。唯一の問題は、リモートユーザーではなく、Webサーバーを実行しているユーザーのみを認証することです。

また、ユーザー名とパスワードではなく、トークンを渡すための正しいクラスがEWSに見つからないことに気付きました。また、生成されたファイルにはSPNEGOへの参照がありません。

誰かが可能な解決策を知っていますか、または生成されたクラスを使用するのではなく、手動でSOAP呼び出しを生成する必要があるように見えますか？

御時間ありがとうございます

(具体的には VisualSVN の場合。) SVN 認証または Windows 統合認証を使用する必要がありますか?

ここに何か間違っている場合は修正しますが、...

SVN認証の問題は、管理者が基本的に、アカウントの作成時に開発者に自分のパスワードを入力してもらうか、パスワードを作成する必要があることです(開発者のパスワードを知っているため)。しかしもちろん、SVN サーバー管理者は、リポジトリ自体への完全なアクセス権を持っているため、とにかくコードにアクセスできます。

Windows統合認証を使用している場合、これはSVNサーバーで開発者にフルアクセスアカウントを与えていることを意味すると思います（他に何が実行されているかに応じて、肛門監査人が悪い慣行を呼び出しているのを見ることができます）。

では、大規模な組織にはどのタイプの認証が適していると考えられますか? それは問題ですか？

spnego 認証を必要とする Web アプリケーションにアクセスしたいと考えています。このアプリケーションは、VPN 接続で接続されているネットワーク上で実行されています。プロキシは使用されません。

IE6/7/8、Chrome では正常に動作しますが、Firefox 3.6.13 では動作しません。

Firefox の問題は次のとおりです。ユーザー名とパスワードを入力するプロンプト メッセージ ボックスがありません。

FF を構成するために、次の手順を適用し、ドメイン名を信頼済みおよび委任 uris フィールドに追加しました。

アプリケーションにアクセスしようとすると、次のエラー メッセージが表示されます。

サーバーから送信された認証チャレンジにブラウザが応答しませんでした。ほとんどの場合、ブラウザーが SPNEGO 認証チャレンジを処理するように正しく構成されていないか、SPNEGO をサポートしていません。システム管理者に連絡して、問題に対処してください。

TCPMon を使用して、受信した情報の概要を取得します。

他のブラウザを確認しましたが、同じ情報が得られました。

なぜ FF がそれを解釈できないのか、ダイアログ ボックスを表示したり、アプリケーションを入力したりできない理由を知っている人はいますか?

助けてくれてありがとう。

よろしくお願いします。

JBoss での kerberos 認証にspnego ( http://spnego.sourceforge.net ) を使用しています。

PAC データを含む認証データにアクセスするには、Kerberos チケットを復号化する必要があります。ユーザーに付与するロールを決定するには、PAC データが必要です。

kerberos チケットにアクセスして解読する方法は? ネットで例を検索しましたが、努力はしませんでした。

SpnegoContextToken を使用している WCF Web サービスを使用するために Windows で実行する Java コードを作成しようとしています。誰かが共有できる良い実例を持っていますか? 現在の Metro (2.1) が SpnegoContextToken をサポートしているかどうかさえわかりません。アドバイスをいただければ幸いです。ありがとう！！！