使用 python-kerberos 进行 HTTP 协商 Windows 与 Unix 服务器实现

Question

我尝试在我的 python Web 服务器中实现简单的单点登录。我使用了 python-kerberos 包，效果很好。我已经在我的 Linux 机器上对其进行了测试（针对活动目录进行身份验证），并且没有问题。 但是，当我尝试从 Windows 计算机使用 Firefox 进行身份验证时（无需特殊设置，只需让用户登录到域 + 将我的服务器添加到 negotiate-auth.trusted-uris 中），它不起作用。我查看了发送的内容，它甚至与 Linux 机器发送的内容完全不同。 Microsoft 对该过程的描述与我的交互方式非常相似Linux 可以工作，但 Windows 机器通常会发送一个非常短的字符串，这甚至与微软文档所述的内容不同，并且当 Base64 解码时，它类似于 12 个零字节，后跟 3 或 4 个非零字节（GSS 函数）然后返回它不支持这种方案）

要么客户端 Firefox 设置有问题，要么有一些我应该遵循的协商协议协议，但我在任何地方都找不到任何参考。任何想法有什么问题吗？你知道我应该尝试找到什么协议吗，因为它看起来不像 SPNEGO，至少从 MS 文档来看是这样。

更新：现在它似乎至少产生了合理的数据（在与 windows7 不同的东西上干净安装 firefox...），但是我得到： (('未指定的 GSS 故障。次要代码可能提供更多信息', 851968), ('', 100004)) 协商数据现在似乎正常，因此这是其他错误。知道在哪里可以解码 100004 的含义吗？

Answer 1

在 Windows 上，您还需要确保 network.auth.use-sspi = true，以便 Firefox 将使用本机 Windows Kerberos (SSPI)，而不是查找 GSSAPI DLL。

如果不是这样，并且您想要提供 Kerberos 和 HTTP 流量的数据包捕获，我很乐意查看它。