問題タブ [www-authenticate]

Windows Server 2008 で NodeJS サーバーを実行しています。

サーバーはあまり機能しませんが、401、WWW-Authenticate Negotiation のヘッダーを設定します。これは、彼のデフォルトの Kerberos 認証を使用するか、利用できない場合は NTLM を使用することができます。

フィドラーをダウンロードしたところ、サーバーにアクセスしようとすると、コンピューターがサーバーと同じドメインにあり、コマンドを実行すると、Kerberos ではなく NTLM (ユーザー名とパスワードの入力を求める) で認証しようとすることがわかりました。 「klist」は、彼がトークンを持っていることを示しています。これは、彼がすでにKerberosで認証されていることを意味します(そうではありませんか?)。

私の質問は、NTLM ではなく Kerberos で認証するにはどうすればよいかということです。なぜ彼はそもそも NTLM に行くのですか?

何か案は？

HttpClient (httpclient 4.3.6) を取得して現在のユーザーを IIS REST サービスに認証する方法についてのポインターを探しています。

すぐに使用できる WWW 認証プロトコルを処理しているように見えるので、UrlConnection を使用して問題なく接続できます。

マルチパート POST/PUT (FileEntity) を利用するために HttpClient に移行しましたが、HttpClient が WWW 認証を処理しないことがわかりました。プロセスの最初の部分である 401 で失敗するだけです。

NTLM資格情報などを提示する例をいくつか見つけました...しかし、資格情報を取得したくありません。現在のWindows IDを使用して要求を実行したいのです。

私に代わってこれを管理するために使用できるコードまたは API はありますか? ユーザー名とパスワードを取得したくありません。現在のユーザー資格情報を提示したいだけです。SPNEGO などのサードパーティ ライブラリを使用する必要がありますか?

よろしくお願いします

パフォーマンス テストに Jmeter を使用していますが、リクエストをリプレイしようとすると、次のレスポンス ヘッダーが表示されます

次の情報ベース URL で HTTP Authorization Manager を使用しています - example.com ユーザー名 - ユーザー名 パスワード - 種類のドメイン - example.com:80 Realm - Mech - Basic_digest

本文のバイト数: 0 サンプル数: 1 エラー数: 1 レスポンス コード: 401 レスポンス メッセージ: Unauthorized

応答ヘッダー: HTTP/1.0 401 Unauthorized WWW-Authenticate: Basic realm="Secured Area" サーバー: BigIP 接続: Keep-Alive Content-Length: 0

何を試してみるべきかについての考え

ありがとう

匿名アクセスと名前付きユーザー アカウントを許可するフレームワークがあります。特定の URL で OData リソースを公開しています。そのように構成すると、匿名ユーザーはリソースの一部を表示でき、(基本認証を介して) ログインしているユーザーはより多くのリソースを表示できます。

私が直面している問題は、一部の OData クライアント (Excel など) が、資格情報を提供した場合でも、最初は匿名で OData リソースにアクセスしようとすることです。これが失敗した場合にのみ、提供された資格情報が使用されます。私の理解では、これはログインする方法がたくさんあり、一部のクライアントは常に最も基本的なオプションを最初に試すためです. ただし、これにより、提供された資格情報を使用することはなく、リソースが匿名アクセスを許可している場合に認証チャレンジを取得することもないため、実際にはより多くのデータを見ることができなくなります。

この問題を解決して、匿名アクセスを許可し、可能な場合は認証チャレンジを適切に送信する方法はありますか? クライアントが資格情報を持っているが、最初は資格情報を提供していないときに送信するヘッダーがいくつかありますか?

これをもう少し具体的にするための (scala) コード:

周囲の try/catch の外側のどこか:

ご覧のとおり、匿名アクセスが許可されている場合、チャレンジは送信されません。

編集: 調査したところ、このリクエストのヘッダーには、これが別の匿名ログイン試行ではなく、認証チャレンジが送信されたときに別のリクエストが発生する最初の試行であることを示す特別なものはないようです。私たちは今ここでどう進めてよいか途方に暮れています。

Spring Security (4.0.1) を AngularJS と統合しようとしています。XML ベースの構成を使用して基本認証を行うことができます。問題は、ユーザーが無効な資格情報を入力するたびに、Web ブラウザーにポップアップが表示されることです。Spring セキュリティ ベースのカスタム フィルターを使用するだけでなく、プレーンな ServletFilters を使用して WWW-Authenticate repsone ヘッダーを削除しようとしました。まだ成功していません。誰でもこれについて私を助けることができますか?

最近、常に認証が必要なサイト（AEM オーサーサーバー）にアクセスしようとしました。次のように、ブラウザーのアドレスバーの URL で基本認証を使用しようとしていました: http://admin:admin@localhost:4502/

しかし、それを試してみると、次のセキュリティ確認が得られました (Firefox 38.0.1 で):

「はい」をクリックすると、認証されていないログインページに移動し、送信した基本的な認証資格情報を無視しているように見えました。次の質問 (およびそれに関するコメント) は、AEM オーサー サーバーが認証資格情報を要求していないためであることがわかりました。つまり、WWW-Authenticate HTTP 応答ヘッダーを送信していないためです。

• http://user:pass@host.com 認証はどのように機能しますか?
• 資格情報が URL で提供されている場合、ブラウザが認証ヘッダーを送信しないのはなぜですか?

したがって、ブラウザーは、アドレス バーに入力した基本的な認証資格情報を実際には送信しませんでした。

そのため、常に認証を必要とする AEM オーサー サーバーが HTTP WWW-Authenticate ヘッダーを送信しない理由を疑問に思いました。しかし、それはより大きな疑問を投げかけます:

常に認証を必要とするサイトの場合、そのサイトが常にWWW-Authenticate 応答ヘッダーを送信することを期待するのは合理的ですか? または、認証が実際に必要であるにもかかわらず、このヘッダーを含めない正当な理由はありますか?