使用 SPNEGO/Kerberos 和委派的 Tomcat 身份验证

发布于 2024-07-10 11:56:29 字数 280 浏览 9 评论 0 原文

是否有一个 apache 模块可以实现供 Tomcat 使用的 Kerberos 身份验证,并且还支持 Kerberos 委派?

我已经查看了 mod_spnego,它丢弃了它创建的 SSPI 上下文,仅保留主体名称。 相反,我正在寻找一个允许将发送到 Tomcat 的票证委托的模块 - 也就是说,获取发送的用于身份验证的服务票证并使用它在服务器端代表用户访问另一个服务。

编辑:为了澄清,我需要使用 GSS/SSPI 上下文在 Win32 下模拟,以便当遗留代码连接到另一台服务器时,使用委派凭据。

Is there an apache module that implements Kerberos authentication for use by Tomcat and also supports Kerberos delegation?

I've already looked at mod_spnego and it throws away the SSPI context it creates only keeping the principal name. Instead, I'm looking for a module that would allow for the delegation of the ticket sent to Tomcat - that is, taking the service ticket sent for authentication and using it server side to access another service on behalf of the user.

EDIT: To clarify, I need to impersonate under Win32 using the GSS/SSPI context so when legacy code connects to another server, the delegated credentials are used.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

念﹏祤嫣 2024-07-17 11:56:29

WAFFLE(Windows 身份验证功能框架)现在从 v1.4beta 开始提供该功能。

它提供了一个 ServletFilter,它使用本机 Windows API 来对用户进行身份验证(使用基本身份验证或协商身份验证)。 然后可以模拟用户,并且将使用模拟用户的访问令牌执行本机 API 调用。

WAFFLE (Windows Authentication Functional Framework) now provides that feature starting from v1.4beta.

It provides a ServletFilter that uses native Windows APIs to authenticate the user, either using Basic or Negotiate authentication. The user then can be impersonated, and native APIs calls will be performed with the access token of the impersonated user.

伤感在游骋 2024-07-17 11:56:29

How about using the JAAS realm and using the kerberos 5 JAAS module?

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm

http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html

Looks like it might require a little coding, but the pieces should be there.

萝莉病 2024-07-17 11:56:29

这是一个 http://spnego.sourceforge.net/credential_delegation.html 教程。 它将 Kerberos/SPNEGO 实现为 HTTP Servlet 过滤器并支持凭证委派。

Here's a http://spnego.sourceforge.net/credential_delegation.html tutorial. It implements Kerberos/SPNEGO as an HTTP Servlet Filter and supports credential delegation.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文