Java Tomcat Windows身份验证:JNDIRealm不';不要使用SPNEGO委派的凭据
我们在Linux上运行Tomcat 7.0.53,我们正在尝试使Windows身份验证工作如下所述: SPNEGO单独工作很好,它可以很好地验证用户身份 然后我们将JNDIRealm与LDAP连接以获取用户角色,这就是问题所在 在通过SPNEGO成功进行用户身份验证之后,我们尝试在JNDIRealm中进行身份验证,但它似乎没有使用SPNEGO的委托凭据,因此身份验证失败。 此外,当我们尝试使用UserDatabaseRealm而不是JNDIRealm并在tomcat-users.xml中为用户设置相应的角色时,这个领域也不会使用这些凭据,身份验证再次失败 卡塔琳娜日志说:Java Tomcat Windows身份验证:JNDIRealm不';不要使用SPNEGO委派的凭据,java,tomcat,active-directory,windows-authentication,spnego,Java,Tomcat,Active Directory,Windows Authentication,Spnego,我们在Linux上运行Tomcat 7.0.53,我们正在尝试使Windows身份验证工作如下所述: SPNEGO单独工作很好,它可以很好地验证用户身份 然后我们将JNDIRealm与LDAP连接以获取用户角色,这就是问题所在 在通过SPNEGO成功进行用户身份验证之后,我们尝试在JNDIRealm中进行身份验证,但它似乎没有使用SPNEGO的委托凭据,因此身份验证失败。 此外,当我们尝试使用UserDatabaseRealm而不是JNDIRealm并在tomcat-users.xml中为用户设
Apr 09, 2014 1:56:46 PM org.apache.catalina.realm.CombinedRealm authenticate
FINE: Attempting to authenticate user "username@DEFAULT.REALM.RU" with realm
"org.apache.catalina.realm.JNDIRealm/1.0"
Apr 09, 2014 1:56:46 PM org.apache.catalina.realm.CombinedRealm authenticate
FINE: combinedRealm.authFail
[Krb5LoginModule]: Entering logout
[Krb5LoginModule]: logged out Subject
下面列出了我们的配置文件
kr5.ini:
[logging]
default = FILE:/var/lib/tomcat/logs/krb5libs.log
kdc = FILE:/var/lib/tomcat/logs/krb5kdc.log
admin_server = FILE:/var/lib/tomcat/logs/kadmind.log
[libdefaults]
default_tkt_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
default_tgs_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
permitted_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
default_realm = DEFAULT.REALM.RU
[realms]
DEFAULT.REALM.RU = {
kdc = dc01-one.default.realm.ru:88
default_domain = DEFAULT.REALM.RU
}
[domain_realm]
.DEFAULT.REALM.RU = DEFAULT.REALM.RU
.default.realm.ru = DEFAULT.REALM.RU
default.realm.ru = DEFAULT.REALM.RU
jaas.conf:
com.sun.security.jgss.krb5.initiate {
com.sun.security.auth.module.Krb5LoginModule required
doNotPrompt=true
principal="HTTP/appserver.default.realm.ru@DEFAULT.REALM.RU"
useKeyTab=true
keyTab="/var/lib/tomcat/conf/tomcat.keytab"
storeKey=true
debug=true;
};
com.sun.security.jgss.krb5.accept {
com.sun.security.auth.module.Krb5LoginModule required
doNotPrompt=true
principal="HTTP/appserver.default.realm.ru@DEFAULT.REALM.RU"
useKeyTab=true
keyTab="/var/lib/tomcat/conf/tomcat.keytab"
storeKey=true
debug=true;
};
server.xml:
<Realm className="org.apache.catalina.realm.JNDIRealm"
debug="9"
connectionURL="ldap://1.1.1.1:3268"
connectionName="user_sys@default.realm.ru"
connectionPassword="***"
userBase="DC=****,DC=ru"
userSearch="(&(objectClass=user)(userPrincipalName={0}))"
userRoleName="memberOf"
userSubtree="true"
roleBase="***"
roleName="name"
roleSubtree="true"
roleSearch="(&(objectClass=group)(member={0}))"
referrals="follow"
authentication="none"
useDelegatedCredential="true"
spnegoDelegationQop="auth"
/>
</Realm>
Application context.xml:
<Valve
className="org.apache.catalina.authenticator.SpnegoAuthenticator"
storeDelegatedCredential="true"
/>
应用程序web.xml:
<login-config>
<auth-method>SPNEGO</auth-method>
</login-config>
斯普尼戈
使用FORM auth方法时,JNDIRealm配置(虽然没有最后3个参数-authentication、useDelegatedCredential和spnegoDelegationQop)工作得非常好
我们尝试使用SPNEGO SourceForge,将SPNEGO用作HttpFilter或阀门,但也没有成功
这个配置有什么问题吗?我们如何让JNDIRealm使用SPNEGO委托凭证?自己解决了这个问题。问题出在JNDIRealm的stripRealmForgs参数中——要么省略它(就像我们的例子中那样),要么将它设置为true,这会使JNDIRealm尝试连接到空主机。当我们设置stripRealmForGss=“false”时,突然一切都像一个符咒一样工作了