問題タブ [spnego]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

338 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
361 参照

web-services - Spring Security – Kerberos Extensionを使用してKerberosで保護されたサービスへのsoap呼び出しを行うことは可能ですか?

Spring Security – Kerberos Extensionを使用してKerberosで保護されたサービスへのsoap呼び出しを行うことは可能ですか?Spring-ws用のWss4jSecurityInterceptorがありますが、soapクライアントがkerberosトークンを送信したい場合、kerberosSecurityInterceptorはありませんか?Spring Security – Kerberos Extensionを使用してこれを行う方法はありますか?お知らせ下さい?

0 投票する
1 に答える
722 参照

smb - SPNEGO GSS-API(NTLMSSP_AUTH) accept-completed(0) 状態の「mechListMIC」を計算する方法

0 投票する
0 に答える
422 参照

single-sign-on - SSO に vintella を使用し、この要求に対して vsj 認証の取得が実行されませんでした

vintella が Windows で現在ログインしているユーザーを使用するための資格情報を取得しようとすると、スタック トレースでこの要求に対して vsj 認証が実行されませんでした。誰もこのエラーに遭遇したことがないように思われるため、Google を使用しても無駄であることが証明されています。Tomcat が起動すると、SPN からチケットが取得されます。これは、アプリケーションが SPNEGO の後で認証を試行した場合のみです。他の誰かがこれを見ましたか?SSO ベンダーに直接問い合わせる必要があるのではないかと考えていますが、サポートのレベルがまったくありません。

0 投票する
1 に答える
1346 参照

tomcat - Spnegoクロスドメイン構成

単一のActiveDirectoryドメインで統合(Spnego / Kerberos)認証を使用してTomcatを正常に構成しましたDOMAINA

しかし、私の会社DOMAINAは2つに分割することにしました。

  • DOMAINAユーザーと
  • DOMAINBそれらを提供するサービスとサーバーで

ドメインは信頼されています。次に、Tomcat(およびSpnego)を構成する必要があります。これは、DOMAINBすべてのユーザーを認証するために実行されていDOMAINAます。

いくつかの質問:

  • preauthユーザーはDOMAINAまたはDOMAINBユーザーである必要がありますか?
  • 新しいネイティブ事前認証ユーザーを要求する必要がありますか、それともDOMAINBユーザー名パラメーターを次のように構成できますDOMAINA\OLDPREAUTHUSERか?
  • SPNをどのように調整する必要がありますか?(冗長プレフィックスを省略して)DOMAINA\OLDPREAUTHUSER今すぐ定義する必要がありますか?DOMAINB\NEWPREAUTHUSERDOMAINB\

  • 私も変更しましたkrb5.conf

    [libdefaults]

    [レルム]

    }

    }

    [domain_realm]

    /li>

それが正しいか?デフォルトのドメインは何ですか?

申し訳ありませんが、エディターはコードをうまくフォーマットしません...

0 投票する
3 に答える
9475 参照

spring-security - Java6 から Java7 へのアップグレード後に Kerberos が壊れる

spring-security kerberos 拡張機能を使用し、jboss で実行され、Java 6 を実行しているアプリケーションがあります。

jvm を Java 6 から Java 7 にアップグレード中です。これを行うと、Java 6 で動作していたのと同じコードベースと同じキータブを使用すると、Java 7 の使用時にエラーが発生するようになりました。

私は一貫して受け取ります:

他のフォーラムで説明されているさまざまな /crypto オプションを使用してキータブを再生成しようとしましたが、役に立ちませんでした。

Java 7 コードをデバッグしましたが、起動時にキータブの読み取りを処理するクラスが 6 から 7 に変更されました。キータブがアプリに正しく読み取られなくなったのでしょうか? Java6 を使用した起動時に表示されるデバッグ メッセージの一部は、7 では表示されなくなりましたが、それが設計によるものなのか、それとも他の何かが動作していることを示しているのかわかりません。6 から 7 へのアップグレードで問題が発生し、kerberos 統合が壊れた人はいますか? 何かアドバイス?

起動時に spnego と kerberos のデバッグ ログをオンにすると、ログに次のように表示されます。

もう 1 つの質問 - C:\Windows\krb5.ini を読み取ろうとしていることがわかります。サーバーにそのようなファイルはありません。必要ですか?私もJava 6のものを持っていませんでしたが、それはうまくいきました。

アーロン

0 投票する
1 に答える
3925 参照

active-directory - ユーザーパスワードなしで AD Kerberos チケットを生成する

ユーザーに代わって Kerberos チケットを生成する必要がある Java EE サーバー アプリケーションを開発しています。

私が開発しているアプリケーションは、別の資格情報 (非 Active Directory、生体認証など) を使用してユーザーを認証し、ユーザーが認証されたことを示す Kerberos チケットを何らかの方法で生成する必要があります。次に、Kerberos チケットを使用して SPNEGO トークンを生成し、トークンを HTTP ヘッダーに挿入して、ブラウザーからの後続の要求でユーザーを再認証する必要がないようにします。

ユーザーの未加工の AD パスワードなしで、ユーザーに代わってその Kerberos チケットを生成することは可能ですか? (AD サービス アカウントのログインとパスワードにアクセスできると仮定します)。可能であれば、どうやってそれを行うのですか?どのような構成、権限が必要ですか?

0 投票する
2 に答える
7803 参照

java - SSO 認証、応答は常に NTLM

開発中のイントラネット アプリケーションに SSO を実装しようとしています。これにはSPNEGOを使用しています。現在、SSO の構成で問題が発生しています。誰かが助けてくれることを願っています。

セットアップは次のようになります。

  1. イントラネット アプリケーションを提供する tomcat を備えた Linux サーバー
  2. ドメイン コントローラとしての Windows Server 2008 (Active Directory)
  3. IE9 および Firefox を使用する Windows 7 クライアント

イントラネット アプリケーションを開くと、クライアントから tomcat サーバーへの GET 要求が表示されます。Tomcat サーバーと SpnegoFilter の最初の応答は 401 無許可です。これは正しく、クライアントを認証する必要があるためです。

クライアントの応答は、フラグ NTLMSSP_NEGOTIATE を含む GET 要求です。ここで壊れます。NTLM 応答は期待していませんが、kerberos/spnego 応答を期待しています。どういうわけか、Tomcat サーバーに正しい応答を送信する方法がわかりません。

デフォルトでは NTLM は SPNEGO でサポートされていないため、ログに次のエントリが記録されます。

java.lang.UnsupportedOperationException: NTLM が指定されました。Basic 認証 (および/または SSL) にダウングレードされましたが、ダウングレードはサポートされていません。

だから私は何か間違ったことをしていますが、構成とポリシーをいじって一日を過ごした後、それが何であるかを理解できません。

何らかの反応を期待します。

0 投票する
4 に答える
8277 参照

java - 人々はどのようにしてJavaSPNEGOクライアントをWindowsで動作させるのですか?

WindowsでJavaを使用してクライアント側のHTTPSPNEGO認証を行うには、Windowsレジストリキーallowtgtsessionkeyを設定する必要があります。これは十分に文書化されています。私が理解していないのは、人々がこれをどのように回避するかです。ほとんどの企業サイトは、単一のソフトウェアのためにWindowsでこのレジストリキーを変更することを決して受け入れません。また、組織内のすべてのワークステーションでこれを変更する必要がある場合は、面倒なことも考えてください。しかし、これまでのところ、このレジストリキーを変更するようにお客様を説得することができなかったため、これは単なる理論です。

私は彼らを責めません。ほとんどの企業管理者は、これがセキュリティを緩和すると考えているため、反対します。

私はこれを読みました: ネイティブSSPI APIを使用してサービスのKerberosチケットを取得する方法はJavaまたはコマンドラインユーティリティにありますか?

でも今はかなり古いです。

ですから、大学の環境やホームユーザーなど以外で、Windows+Javaクライアント+Kerberosをどのように機能させることができるのか本当によくわかりません。

企業の管理者からの質問は、「IEやFirefoxなどのアプリケーションでこのキーを設定せずにSPNEGOを実行しても問題がないのに、なぜこのレジストリキーを設定する必要があるのですか?」です。まあ、私は答えが何であるかを知っています。これは、(ほとんどの場合)IEやFirefoxなどのアプリケーションがWindowsネイティブGSS API(SSPI)に基づいているのに対し、SunのJavaは独自の実装を使用しているためです。

WAFFLEのようなものを使用すれば問題は解決すると思いますが、純粋なJavaソリューションを好みます。また、SpringセキュリティやApache HttpClientなどのJavaベースのソリューションを使用しても、これらすべてがこの問題に悩まされるため、役に立たないと思います。

ヘルプやポインタをいただければ幸いです。

UPDATE1

OracleのバグデータベースにこのためのRFEがあることがわかりました。オラクルの従業員によってこの問題について提出されたパッチと、この機能に関するJDKメーリングリストでの議論もあります。これが現在のJava7で利用できないことを理解できる限り、実験的でさえない限り、私はそれほど賢くなりません。右?

UPDATE2

質問は、OpenJDKSecurityDevメーリングリストで再び生きています。


12345678910