通过 Kerberos 使用 Active Directory 进行身份验证

发布于 2024-12-09 08:14:42 字数 603 浏览 0 评论 0原文

我正在构建一个需要不同级别身份验证的 Android 应用程序，并且我想使用 Active Directory 来实现这一点。

据我所知，使用 Kerberos 是 Microsoft 建议的方式。对于 Android，我该如何执行此操作？我看到 javax.security.auth doc，但它并没有告诉我太多。

我还在某处看到一条注释，指出 Kerberos 不包含用户组 - 这是真的吗？在这种情况下，我是否还必须以某种方式结合 LDAP？

编辑

这里的主要目标是实现与活动目录的 LDAP 连接，以便进行身份验证并为用户提供企业 Android 应用程序的正确权限。这里真正的障碍是 Google 在移植到 Android 时遗漏了许多 Java Web 服务 API。（即javax.naming）此外，Android jar 中的许多连接机制似乎只作为遗留代码包含在内，实际上它们实际上什么也不做。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

前事休说 2024-12-16 08:14:42

为此，您可能最好完全留在 LDAP 中，而不要冒险进入 kerberos。 Kerberos 为您提供了单点登录的优势，但由于您的 Android 应用程序没有任何凭据，因此它并不能真正帮助您。我猜谷歌有他们自己的理由不将 javax.naming 包含到发行版中。这是相当重的东西。

您可以自己从 java 运行时库源移植这些内容，或者最好使用本机 LDAP 库。例如这个一个。

请记住使用安全 LDAP 连接或至少使用安全身份验证方法。有关此内容的详细信息请参见此处。

回复收藏 0 原文

樱＆纷飞 2024-12-16 08:14:42

我发现此处的文档非常有用，当我正在编写我的代码以通过我的 Kerberos 服务器进行身份验证。以下是我如何使用我的 kerberos 服务器进行身份验证，但您可能需要对其进行调整（因此我包括链接）：

public static final int REGISTRATION_TIMEOUT = 30 * 1000; // ms

private static DefaultHttpClient httpClient;

private static final AuthScope SERVER_AUTH_SCOPE =
    new AuthScope("urls to kerberos server", AuthScope.ANY_PORT);


public static DefaultHttpClient getHttpClient(){
    if(httpClient == null){
      httpClient = new DefaultHttpClient();
      final HttpParams params = httpClient.getParams();
      HttpConnectionParams.setConnectionTimeout(params, REGISTRATION_TIMEOUT);
      HttpConnectionParams.setSoTimeout(params, REGISTRATION_TIMEOUT);
      ConnManagerParams.setTimeout(params, REGISTRATION_TIMEOUT);
    }
    return httpClient;
  }

  public static boolean authenticate(String username, String password)
  {

    UsernamePasswordCredentials creds =
      new UsernamePasswordCredentials(username, password);
    DefaultHttpClient client = getHttpClient();
    client.getCredentialsProvider().setCredentials(SERVER_AUTH_SCOPE, creds);

    boolean authWorked = false;
    try{
      HttpGet get = new HttpGet(AUTH_URI);
      HttpResponse resp = client.execute(get);
      authWorked = resp.getStatusLine().getStatusCode() != 403
    }
    catch(IOException e){
      Log.e("TAG", "IOException exceptions");
      //TODO maybe do something?
    }
    return authWorked;
  }

I found the documentation here to be really useful when I was writing my code to authenticate with my Kerberos server. Here's how I authenticate with my kerberos server, but you might need to tweak it for yours (hence me including the link):

public static final int REGISTRATION_TIMEOUT = 30 * 1000; // ms

private static DefaultHttpClient httpClient;

private static final AuthScope SERVER_AUTH_SCOPE =
    new AuthScope("urls to kerberos server", AuthScope.ANY_PORT);


public static DefaultHttpClient getHttpClient(){
    if(httpClient == null){
      httpClient = new DefaultHttpClient();
      final HttpParams params = httpClient.getParams();
      HttpConnectionParams.setConnectionTimeout(params, REGISTRATION_TIMEOUT);
      HttpConnectionParams.setSoTimeout(params, REGISTRATION_TIMEOUT);
      ConnManagerParams.setTimeout(params, REGISTRATION_TIMEOUT);
    }
    return httpClient;
  }

  public static boolean authenticate(String username, String password)
  {

    UsernamePasswordCredentials creds =
      new UsernamePasswordCredentials(username, password);
    DefaultHttpClient client = getHttpClient();
    client.getCredentialsProvider().setCredentials(SERVER_AUTH_SCOPE, creds);

    boolean authWorked = false;
    try{
      HttpGet get = new HttpGet(AUTH_URI);
      HttpResponse resp = client.execute(get);
      authWorked = resp.getStatusLine().getStatusCode() != 403
    }
    catch(IOException e){
      Log.e("TAG", "IOException exceptions");
      //TODO maybe do something?
    }
    return authWorked;
  }

回复收藏 0 原文