問題タブ [sspi]

現在、OpenSSLなどの外部依存関係なしにWindowsでSSL対応プロトコルを使用できるようにするために、SSPISchannelAPIサポートをlibcurlに追加しています。

すでにSSL/TLSの実装が機能していますが、関数AcquireCredentialsHandleによって返される資格情報ハンドルの再利用に関して非常に具体的な質問があります。

新しいハンドルを作成し、既存のハンドルを再利用して、それをInitializeSecurityContextに複数回渡す代わりに、SSL / TLSセッションを再利用することは正しく、可能ですか？

libcurlのSchannelモジュールに関する私の作業はここにあり、再利用を試みる実験的なバージョンはここにあります。

これに関するヒントやフィードバックをいただければ幸いです。では、クレデンシャルハンドルをそのような方法で再利用できますか？そしてそれは正しいですか？

前もって感謝します！

Win SSPI(Schannel)インターフェースでTLS接続を確立したい。
私は暗号化と復号化のプロセスの段階にあり、本当に混乱していることに気づきました -メモリ割り当てを管理する責任があるのは誰ですか? :

1. rempte パーティにデータ パケットを送信する場合は、4 つのバッファーを含むバッファーを使用して EncryptMessage 関数を呼び出して、データを暗号化する必要があります。ヘッダーへのバッファー、データへのバッファーは暗号化する必要があり、トレーラーへのバッファー、タイプ SECBUFFER_EMPTY の 4 番目のバッファー (これが何に使用されるのか理解していないと言わざるを得ませんが、MSDNには追加するように書かれています)。EncryptMessage 関数が呼び出されると、暗号化されたデータはどこにあるのでしょうか? 入力バッファとして送信したデータを上書きしますか? もしそうなら、暗号化されたデータが送信した元のバッファのサイズよりも大きすぎる場合はどうなりますか? EncrypteMessage は追加のメモリを割り当て、それを元のバッファに結合しますか?
2. データを受信すると、受信した暗号化されたバイトのストリームも取得し、暗号化されたデータを DecryptMessage 関数に送信する必要があります。私の質問は再び - SSPI は復号化されたデータをどこで見つけますか? また、復号化データが元のストリームよりも短い場合、割り当てられた残りのバイトを解放する責任は誰にありますか?
3. メッセージを復号化すると、関数がタイプ SECBUFFER_EXTRA のバッファを返すことがあります。MSDNには、この余分なバッファの意味が書かれています。繰り返しになりますが、誰がこのメモリの場所を割り当てているのか完全にはわかりません。それは、私が送信した元のストリーム内の任意の場所へのポインタですか?

SSPIに精通している人だけが私に答えることができるかどうかはわかりません.Microsoftの実装をよく知っている人かもしれません.
SSPIが管理する内部プロセスとは何かを説明する回答、または部分的な回答をいただければ幸いです。
ありがとう！

Smart-HTTP GitサーバーをIIS（gitweb.codeplex.com）に正常にインストールし、Windows認証を使用してアクセスを構成しましたが、クライアントからサーバーリポジトリにアクセスするたびにユーザー名/パスワードを入力する必要があります。

現在ログインしているユーザー資格情報（cvsntの：sspi：など）を使用してアクセスを構成することは可能ですか？（必要に応じて別のサーバーに切り替えることができます）

pentaho data integration 4.1 (Kettle) を使用して ETL システムを構築しています。私の顧客は、ウィンドウ認証を使用してデータベース (MS SQL Server) に接続する必要があります。Kettle がそれをサポートしていることは知っていました。ただし、Kettle ジョブを実行すると、例外がスローされます

"I/O Error: SSO Failed: SSPI Not Initialized".

フォーラムの記事から、ライブラリsqljdbc_auth.dllをjre/binフォルダーにコピーします。結果は非常に良好で、ウィンドウ認証を使用して SQL サーバーに接続できます。しかし、この関数は安定していません。つまり、うまく機能することもあれば、例外をスローすることもあります

"I/O Error: SSO Failed: SSPI Not Initialized".

このエラーを修正する方法を教えてください。

ありがとうございました。

SSPIの呼び出しに失敗しました。内部例外を参照してください。コンテキストの有効期限が切れており、使用できなくなりました。

このエラーはどういう意味ですか？

MDMサーバーに証明書があり、デバイスはSCEPからID証明書を取得します。MDMとSCEPを使用して構成プロファイルをインストールしようとしていますが、役に立ちません。コンソールから、MDMサーバーの証明書が無効であると通知されます。

私が奇妙だと思うのは、デバイスがMDM URLにログインし、「authenticateasserver」を実行すると、ストリームが認証されて機能することです。クリックしてMDMのプロファイルをインストールすると、上記のエラーが発生します。

Windows SSPI呼び出しAcquireCredentialsHandleは、クレデンシャルハンドルの有効期限が切れる時期を示すタイムスタンプを返します。TimeStampドキュメントは、構造が構造と同じ形式でなければならないと言っているようですFILETIME。FILETIMEただし、この関数を「Kerberos」パッケージで使用すると、 ：として扱われた場合の結果は意味がありません。

私のシステムでは、これは次のように出力します。

それがではない場合、それFILETIMEは何ですか？

SSPI（Schannel）を使用して安全な接続を確立したい。
暗号スイートのAES256として使用できません。ここで見たように、AES256暗号スイートを無効にするために独自のアルゴリズムリストを定義する必要があります。ALG_IDパラメータをCALG_RSA_KEYXチッパーに設定しましたが、wiresharkキャプチャで、アプリケーションが「TLS_RSA_WITH_AES_256_CBC_SHA」を選択していることがわかります。

以下のコードスニペットは、安全なコンテキストを作成する方法を示しています。このコードはここから取得され、デフォルトのOSアルゴリズムを使用する代わりに、アルゴリズムのリストを取得するように変更しました。

誰かが私に理由を説明できますか？AES_256を無効にするにはどうすればよいですか？

前もって感謝します。

SchannelでのSSPIの使用を示すMicrosoftのサンプルを見たいです。私がここ
で 見るようにそのようなサンプルがあります、しかし私はそれを見つけることに成功することができません:( 誰かが私がそれを見つけるのを手伝ってくれますか？

前もって感謝します！

コンテキスト：大学生にサービスを提供するプログラムを作成していて、特定の大学の学生だけがそのプログラムにアクセスできるようにする必要があるとします。その大学は、ほとんどの場合と同様に、学生にKerberosログインを提供します。

上記のc＃で説明したように、既存のリモートKerberos v5kdcに対してユーザーを認証するにはどうすればよいでしょうか。目標は単に認証（合格/不合格）することであり、私はチケット/トークンを保存するつもりはありません。

私はJAAS（Java Authentication and Authorization Service）を使用してJavaで同じことをしましたが、それは非常に簡単でした。

SSPIは.NETと同等ですか？必要なことを達成するためにそれをどのように使用しますか？これを行うコード例が見つからないようです。

注：@chimanraoの質問はすでに確認しましたが、リンクではこの特定の問題について十分に詳しく説明されていませんでした。また、このトピックに関するmdsnの記事は非常に不完全であり、それが話すクラスのいくつかは存在しません。

I'm seeing some odd things with jenkins and sending mail. For some users mail is sent to DOMAIN_username@company.com - some are fine.

Jenkins is using AD for authentication - most users haven't actually logged into jenkins, the username comes from svn. my svn server is a windows2008 server using sspi to authenticate:

the best place to see it is in the http://jenkins/job/job-name/1234/api/json and look at culprits

Things are goign to work fine for bobama, but note asmith - the email will go to DOMAIN_asmith@company.com (which won't deliver)

If I look at the users configuration page http://jenkins/user/DOMAIN_asmith/configure

I see his email is actually listed as DOMAIN_asmith@company.com, bobama looks fine.

These values aren't coming from the user (neither has ever logged in to jenkins) - they're coming from AD by way of SVN. I'm stuck - anyone point me in a better direction?