是否有一個Apache模塊實現了Tomcat使用的Kerberos身份驗證,並且還支持Kerberos委派?使用SPNEGO/Kerberos和委託的Tomcat身份驗證
我已經看過mod_spnego,它會拋出它創建的SSPI上下文只保留主體名稱。相反,我正在尋找一個模塊,以允許將發送給Tomcat的故障單委派 - 也就是說,將服務故障單發送用於認證,並使用服務器端代表用戶訪問其他服務。
編輯:爲了澄清,我需要在Win32下使用GSS/SSPI上下文進行模仿,以便當舊版代碼連接到另一臺服務器時,使用委託憑據。
WAFFLE(Windows身份驗證功能框架)現在提供了從v1.4beta開始的功能。
它提供了一個ServletFilter,它使用本機Windows API對用戶進行身份驗證,使用基本身份驗證或協商身份驗證。然後用戶可以被模擬,並且將使用模擬用戶的訪問令牌執行本地API調用。
如何使用JAAS領域並使用kerberos 5 JAAS模塊?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html
看起來它可能需要一點點的編碼,但片應該在那裏。
這是一個http://spnego.sourceforge.net/credential_delegation.html教程。它實現Kerberos/SPNEGO作爲HTTP Servlet過濾器並支持憑證委託。
這看起來很有趣,但似乎並沒有解決我的問題。我沒有看到使用GSSContext模擬(通過win32)的方法。 這是我想要做的,但不是委託給另一個http服務器,我需要通過sspi委託。我會澄清這個問題。 – 2009-11-05 00:30:22
看起來這是將kerberos上下文放入TomCat +修改mod_spnego所需的一半,所以在調用win32代碼時我需要一個安全上下文來模擬。 – 2009-01-24 01:05:06
我已經使用JRE 6和Tomcat成功完成了Kerberos/SPNEGO身份驗證,實現了我自己的Tomcat Authenticator和Realm。在你的情況下,這可以通過GSS-API和一些發送到客戶端的頭來完成。然後,該主管可以用來執行其他JAAS操作。 – 2009-01-28 23:57:31