Tomcat使用SPNEGO/Kerberos进行认证和委派

Question

Tomcat使用SPNEGO/Kerberos进行认证和委派

apachetomcatkerberosspnego

9

有没有一个Apache模块可以实现Kerberos身份验证，供Tomcat使用，并支持Kerberos委派？

我已经查看了mod_spnego，它会丢弃它创建的SSPI上下文，只保留主体名称。相反，我正在寻找一个模块，允许委派发送给Tomcat的票证 - 即，使用服务器端的服务票证代表用户访问另一个服务。

编辑：为了澄清，我需要在Win32下使用GSS/SSPI上下文进行模拟，因此当传统代码连接到另一台服务器时，使用委派凭据。

- Tony Lee

3个回答

4

如何使用JAAS领域并使用Kerberos 5 JAAS模块？可以参考以下链接：http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm ，http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html。看起来可能需要一些编码，但应该有基本的组件。

- Suppressingfire

看起来这只是我需要的一半，需要将Kerberos上下文传递到Tomcat并修改mod_spnego，以便在调用Win32代码时有一个安全上下文可供模拟。 - Tony Lee

我已经成功地使用JRE 6和Tomcat实现了Kerberos/SPNEGO身份验证，通过实现自己的Tomcat Authenticator和Realm。在您的情况下，这可以通过GSS-API和一些发送到客户端的标头来实现。然后，该主体可以用于执行其他JAAS操作。 - Scott Markwell

2

这是一个教程，http://spnego.sourceforge.net/credential_delegation.html 它实现了Kerberos/SPNEGO作为HTTP Servlet过滤器，并支持凭证委派。

- Pat Gonzalez

这看起来非常有趣，但似乎不能解决我的问题。我没有看到使用GSSContext进行模拟（通过win32）的方法。这就是我想要做的事情，但我需要委派到sspi而不是另一个http服务器。我会澄清问题。 - Tony Lee

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Nico · Accepted Answer

WAFFLE（Windows身份验证功能框架）现在从v1.4beta开始提供此功能。

它提供了一个ServletFilter，使用本机Windows API对用户进行身份验证，可以使用基本身份验证或协商身份验证。然后可以模拟用户，并使用模拟用户的访问令牌执行本机API调用。