問題タブ [spnego]

Swing クライアントは kerberos チケットにアクセスでき、Jboss サーバー バージョン 5.1.0 AS に渡して EJB ルックアップのためにサーバーで認証する必要があります。このチケットを渡す方法はありますか?

次のプログラムを実行できません。

JDK7 をインストールし、JAVA_HOME環境変数を管理者として設定しました。コンパイルおよび実行中に、通常のドメイン ユーザーとして Windows XP マシンで作業しています。

とspnego-r7.jar同じディレクトリに があり、次のHelloKeytab.javaようにコンパイルしました。

これにより、クラスが正常に作成されます。

プログラムを実行すると：

次のエラーが表示されます。

ここspnego-r7.jarで見つけることができます: http://sourceforge.net/projects/spnego/files/

このエラーが発生するのは何が問題なのですか?

Tomcat 6 サーバーで Spengo API をテストしています。ブラウザで呼び出しているファイルは次のとおりです。

%TOMCAT_HOME%\lib に spnego-r7.jar を追加し、%TOMCAT_HOME%\conf\web.xml に次のフィルターを追加しました。

%TOMCAT_HOME% には、krb5.conf、login.conf、および sys-spn.keytab があります。

sys-spn.keytab は、スタンドアロンの Java プログラムでテストされ、正しく動作します。

krb5.conf は次のとおりです。

私の login.conf は次のとおりです。

DC2 は KDC で、AS1 はアプリケーション サーバーです。keytab (SPN のログインとパス) を使用しない Web ブラウザから hello_spnego.jsp を呼び出すと、ハンドシェイクは正しく、Hello ! を取得します。ログインとパスを使用せずにキータブ ファイルを使用すると、次のエラーが発生します。

私の問題は何ですか？

Linux tomcat 7.0 のインストールで spnego sso 認証を実装しており、http ://spnego.sourceforge.net/index.html の例に従っています。私はフライト前のチェックリストに見事に合格し、実際に Firefox の「BASIC」チケットを行ったり来たりして動作させました。

ただし、"Negotiate" Authorization ヘッダーを使用すると、catalina.out で次のエラー メッセージが表示されます。

これは、IE と soapUI で要求をシミュレートするときに発生します。両方に返される応答は次のとおりです。

私が言ったように、それは Firefox で動作していますが、そこにログインを要求するという事実の一部のみで、「基本」認証に進みます。(少なくとも、web.xml フィルター構成でオフにするまではそうなので、それらの構成が読み取られていることがわかります)

次の enctypes を使用しています。

256 暗号化と関係があると思われますが、次の説明に従って無制限の暗号化 jar をダウンロードして Java lib/security フォルダーに入れました。

ただし、それで問題は修正されました（欠けているものがない限り）。catalina.out ファイルに表示される 'Error parsing...' http エラーを広範囲に検索しましたが、解決策が見つかりませんでした。他の設定 (レルム、ドメインなど) は、変更したところ、より具体的なエラーが発生したため、正常に動作しているようです。

INFO: Error parsing HTTP request headerエラーに関するアイデアはありますか？

これは社内環境であり、SSO は既に httpd で正常に実装されていますが、それを完全な Tomcat ソリューションに移行したいと考えています。

SPNEGO for Tomcat 7 と IBM JDK を使用して SSO を機能させようとしています。com.sun.security.jgss.krb5.accept を呼び出す認証に「org.apache.catalina.authenticator.SpnegoAuthenticator」を使用しています。そのための構成は

Java 6 (SR9)、7 (SR1、SR5) で試しましたが、常に以下のエラーでスタックします。

誰かが私が見逃したものを指摘できますか?

-ありがとう

SourceForge の SPNEGO ライブラリを使用して、Web アプリケーションに Java SSO を実装しようとしています。http://spnego.sourceforge.netの hello_spnego.jsp の例は正常に動作しますが、次のパラメーターについてまだ理解していないことがいくつかあります。

1. spnego.prompt.ntlm は、Kerberos をサポートしていないクライアントの基本認証を有効にします。このパラメータに推奨される値とその理由は?
2. spnego.allow.basic は、Kerberos 認証に加えて基本認証を提供します。基本認証のリクエスト資格情報が安全ではないことを理解しています。このパラメータに推奨される値とその理由は?
3. spnego.allow.unsecure.basic. 基本認証が有効になっている場合、その値は false でなければならないと思いますが、よくわかりません。

spring-security 3.0.2.RELEASE と spring-security-kerberos-core 1.0.0.M2 を使用して、SPNEGO ベースの認証を実装しています。

サーバーに複数の有効な DNS 名があります。1 つはマシン自体 (machine.domain) を参照し、もう 1 つはアプリケーション (app.domain) を参照します。現在、リバース プロキシは設定されていません。

SPNEGO が両方の有効な DNS 名で機能することを確認する必要があります。そのままマシン名をSPNとして設定しています。IE7 を使用してアプリケーションに接続すると、マシン名には接続できますが、アプリケーション名には接続できません (HTTP 401)。

SunJaasKerberosTicketValidator を使用してチケットを検証していますが、一度に構成できる SPN は 1 つだけです。

複数の SPN で動作するようにアプリケーションを構成するにはどうすればよいですか? SPN は、setspn を使用してリストに追加するだけでよいですか? または、複数のチケットバリデーターを設定する必要がありますか?

私の質問は、これと非常によく似ています (未回答): http://forum.spring.io/forum/spring-projects/security/122250-spring-security-3-kerberos-spn

本当にありがとう、

ジェームズ

ネゴシエートを使用してプロキシで認証する必要があるアプリケーションを開発しています。ユーザーが Kerberos クライアントをインストールしていない可能性があります。プラットフォームへの依存を避けるために、MIT Kerberos Library を使用してこれを達成しようとしています。krb5_get_init_creds_password を使用して TKT を正常に取得し、krb5_verify_init_creds を検証しました。ここで、この TKT を使用して HTTP ヘッダーで送信される SPNEGO トークンを作成したいと考えています。SPNEGO トークンを作成するための API またはメソッドを教えてもらえますか?

Play Framework Web アプリケーション用に MS Windows ログオン ユーザーで SSO を構成するにはどうすればよいですか?

ユーザーが MS Windows ログイン ユーザーを使用してバックグラウンドで認証が実行されることを期待するエンタープライズ環境に Play Framework Java Web アプリをデプロイしたいと考えています。ユーザーが誰であるかに応じて、Java Web アプリの動作を適応できることが重要です。

これは、たとえば Waffle や SPNEGO を使用して JEE アプリ用に構成できることを理解しています。ただし、Play Framework 2.x アプリケーションでこれを行うにはどうすればよいですか? play2-war-pluginを使用して WAR としてパッケージ化し、JBOSS Application Server にデプロイします。それが良いアプローチである場合、構成を修正する方法に関する情報を見つけるにはどうすればよいですか?