問題タブ [spring-security-kerberos]

ドメイン間に信頼が設定されていると仮定して、spring-security-kerberos を使用してクロスドメイン認証を提供できるかどうかを知っている人はいますか? Tomcat 7 の Windows 2008 R2 サーバーで、spring-security と spring-security-kerberos を使用して標準の Java Web アプリケーションを実行しています。

編集：

Java 1.6.0_30 の実行

現在の krb5.ini

私はこの問題について多くのことをグーグルで調べましたが、なぜそれが起こっているのかまだわかりませんでした。ユーザーがブラウザで BASIC 認証フォームをキャンセルすると、空白のページが表示されます。

401 ページは Tomcat webapp でセットアップされ、Firebug では 401 Unauthorized が表示されます。

応答に一部のヘッダーが欠落している可能性がありますか?

助けてください！よろしくお願いします。

更新私の投稿は十分に有益ではないと思います.BASIC認証とSpring Kerberos認証の組み合わせもあり、空白のページが表示されると、ヘッダーは次のようになります:

WWW-Authenticate Negotiate Basic realm="MyRealm"

このチケットspring-security-kerberos-core.jarに記載されているバージョン、つまりそれ以降のバージョンをダウンロードしたかったのです。ダウンロードする適切な場所が見つかりません。メイン サイトは、この.krb-1.0.0.RC1

この投稿http://blog.springsource.com/2009/09/28/spring-security-kerberos/に従って、Springセキュリティ統合のテストに使用するローカル サーバーにサービス プリンシパルをセットアップします。アクティブディレクトリで。サーバーにはTomcatが実行されており、アプリケーションをデプロイし、次の方法でアクセスしますhttp://localhost:8080/myapp

質問

サービス プロバイダー名は何にする必要がありますか?

記事には次のように書かれています。

これを機能させるには、すべての Web アプリケーションを Kerberos サーバーに登録し、サービス プリンシパルと共有シークレットを割り当てる必要があります。Web アプリケーションの場合、サービス プリンシパルは「HTTP/@DOMAIN」である必要があります。たとえば、アプリが web.springsource.com で実行されている場合は、「HTTP/web.springsource.com@SPRINGSOURCE.COM」です。

私は走っているので、代わりに何を入れるかlocalhostになると思いますHTTP/localhost@....@SPRINGSOURCE.COM?

プロジェクトで Kerberos 認証を使用しようとしています。これは私の会社の内部サービスであり、ユーザーを認証し、Active Directory からユーザーのグループを取得したいと考えています。これには、Spring Security、Kerberos 拡張機能、および当社の AD を使用しています。

問題: Kerberos で認証できますが、AD のドメインは「WAN.CORP.COM」です。したがって、username@WAN.CORP.COM でユーザーを取得します。AD でこれを要求できるフィルターはありません (userPrincipalName は username@corp.com のようなものです)。

私のsecurity.xmlには次が含まれています：

しかし、Spring Security は user@WAN.CORP.COM を取得できないため、例外を送信します...

誰でも私を助けることができますか？Spring Security で直接作りたいのですが、そうでない場合は DummyUserDetailsS​​ervice で情報を取得できると思いますよね？

どうもありがとう、そして私の下手な英語でごめんなさい...

ケルベロス認証を使用した春のセキュリティが正常に機能しています。しかし、春のフレームワークはロールを取得するために KerberosServiceAuthenticationProvider.userDetailsS​​ervice を呼び出しているようです。セッションが無効になるまで、ロールを一度だけ取得すると思っていました。私の設定は次のようになります

したがって、安全なページが要求されるたびに DummyUserDetailsS​​ervice.loadUserByUsername(Styring username) が呼び出されます。データベースからユーザーの役割をロードしていますが、要求が行われるたびにクエリを実行したくありません。必要な構成はありますか?これを防ぐには？

Active Directory サービスからユーザーを認証するために、春のセキュリティで kerberos/spnego 認証を使用しています。クライアントは Windows 7 です。kerberos チケットの更新プロセスに懸念があります。チケットが 10 時間有効であることを理解しています。ユーザーが起動し、kerboros チケットを使用するアプリケーションがマシンに存在するチケットの有効期限が切れた場合、ブラウザーは AD サーバーに新しいチケットを自動的に要求しますか、それとも認証に失敗しますか?