問題タブ [spnego]

HTTP 経由でデータを提供し、SPNEGO (およびシングル サインオン) 経由でユーザーを認証する Web サービスがあります。この Web サービスの C# クライアントを作成します。

.NET で必要なトークンを生成する標準/提供された方法はありますか? 大規模なグーグル検索によると、SPNEGO のネイティブ サポートがないことが示唆されています。

私はTomcatでSPNEGOをセットアップしました。

「NTLM要求を基本認証にダウングレードしてください」というメッセージが表示されます。クライアントはユーザー名とパスワードの入力を求められます。

ただし、シングルサインオンが必要です。

どうすればこれをデバッグできますか？

SPNEGO (資格情報のネゴシエーション) が発生することを期待するサーバーに対して GET および POST 要求を実行する方法を探しています。できるだけRuby 1.8.xで動作するソリューションを希望しますが、他に何も得られない場合はRuby 1.9.xの可能性を検討します(これまでのところgssapi gemを試してみましたが、うまくいきませんでした。 DYI アプローチではなく、spnego 対応の HTTP クライアントを好みます :/)。

現在、私の試みはすべて失敗しています (つまり、Win32 専用ではないものは何も見つかりませんでした。Mac/Linux 互換が必要です)。

SPNEGO を使用して webapp を認証します。サーバー側で LDAP への認証にチケット委任を使用したいと考えています。ただし、ログイン (kinit) はクライアント側で行われるため、サーバー側にはチケット キャッシュはありません。どうすれば sso できますか?

WAS7でIBMWebSpherePortal 6.1を構成しました：SPNEGO、自己署名証明書付きのssl、デフォルトのhttpトランスポート（Webサーバーなし）およびデフォルトのポート10039、10029から80、443に変更しました。その後、SPNEGOはhttpで正常に動作し、httpsで標準ログインが表示されます形。どこに間違いがあるのでしょうか？

Tomcat サーバーで動作するように spnego を構成しました。URL、つまり mycomuptername:8080/tools でコンピューター名を使用すると、完全に正常に機能し、ユーザーを自動的に認証し、ユーザーに資格情報を要求しません。

URL でコンピューター名の代わりに IP アドレスを使用すると、つまり http//10.0.0.0:8080/tools のように、ユーザーがページにアクセスするたびにユーザーに資格情報を要求します。

私はしばらくの間解決策を見つけようとしてきましたが、ドットが含まれるすべての URL をローカル イントラネット サイトではなくインターネット サイトとして扱う IE の強化されたセキュリティが原因であることがわかりました。

IE でローカル イントラネット サイト設定のゾーン サイトに IP アドレスを追加しようとしましたが、うまくいきませんでした。

以下の URL で説明されているように、セキュリティを抑制しようとしましたが、うまくいきませんでした。 http://forums.sdn.sap.com/thread.jspa?threadID=1195402&tstart=0

IE 8 もインストールしましたが、IE 8 でも同じ問題が発生します。

とにかく、ユーザーが資格情報を入力する必要なく、spnego を IP アドレスで動作させる方法はありますか。

ありがとう、アンクル。

SPNEGO認証プロトコルを実装するMicrosoftサーバーにアクセスするときに、Windowsで実行されているJava 6クライアントがNTLMを介して認証できるかどうかを誰かが知っていますか？

私の理解では、Windowsで実行されているJava 6にはSPNEGOのサポートが組み込まれていますが、Kerberos認証が不可能な場合、Java実装はNTLM認証を試行しないようです。Sunのドキュメントで提供されているAuthenticatorの例は、サーバーがWWW-Authenticate：Negotiateを送信したことに応答して、401Unauthorizedエラーで失敗します。

テスト環境の説明は次のとおりです。

ターゲットサーバー：

• Windows 2008 R2スタンドアロンサーバー（ADドメインの一部ではありません）
• WCFを使用して実装されたMicrosoftSOAPサービス
• WCFはSPNEGO認証用に構成されています（KerberosおよびNTLM）
• WCFサーバーを再構成して他の認証モードをサポートすることはできません:(

クライアントマシン：

• Windows 7 64ビットスタンドアロンワークステーション（ドメインの一部ではありません）
• SunSPNEGOの例を実行しているJavaSE6クライアント

最終的な目標は、ApacheCXF2.4.0を使用してWCFサーバーでSOAPサービスを呼び出すことです。CXFとSOAPの複雑さを追加する前に、認証の問題を解決するために、単純なJavaテストアプリケーションを使用してサーバーからWSDLを取得しようとしていました。

FWIW-Windowsサーバーのローカル管理者ログインを使用してIEからWCFサーバーにアクセスできます。また、特別な認証設定なしでDelphiXESOAPクライアントを作成することができました。Delphi SOAPクライアントは、内部でWinInetを使用します。

spring-security-kerberos のこのチュートリアルに従おうとしています 。1 つのプリンシパルを含むキータブがあります。

このキータブは、win 2k8 ドメイン コントローラーで次のコマンドを使用して生成されました。

ktpass /out http-web.keytab /mapuser aulfeldt-hta-nightly@WAD.ENG.HYTRUST.COM /princ HTTP/aulfeldt.hta.nightly@WAD.ENG.HYTRUST.COM /pass *

これは、spnego.xml で使用されるテスト Web サーバーにコピーされました。

しかし、プリンシパルが見つかりません:

Web サーバー (Centos 5.5、tomcat6) を AD WAD.ENG.HYTRUST.COM に参加させてみました。AD 資格情報を使用してログインし、/etc/krb5.keytab のプリンシパルを使用して、読み取り可能かどうかを確認できます。 ..同じ応答。また、名前の大文字と小文字について多くのバリエーションを試しました。

psは今朝gitからチェックアウトしました。

NTLM v1 / v2認証にGSSAPIを使用することは可能ですか？squid / apacheのようなWebサーバーを構築しようとしていますが、NTLM / Negotiateプロトコルを使用して、IE/FireFoxを使用している可能性のあるクライアントを認証したいと思います。heimdalライブラリを使用しようとしましたが、gss_accept_sec_contextを機能させることができません。「サポートされていないメカニズムが要求されました」で失敗するだけです。gss_accept_sec_contextが試行される前にgss_acquire_credが呼び出されたときに、サービスプリンシパル名、spnegoのOIDなどが正しく発生したことを確認できます。はい、もちろん、承認ヘッダーをbase64でデコードして、クライアントから受け取ったトークンを抽出しました。私はC++を使用しており、これをdebianで実験しています。このあたりの素晴らしいハックの1つがもっと知っていると確信しており、いくつかの重要な手がかりを共有することを願っています。

前もって感謝します。