9

我想从 Authorization HTTP 标头中的 Kerberos 票证中读取用户名。我正在使用 Java。

我花了几天时间尝试通过阅读有关该主题的一堆网站来实现这一目标,但未能做到这一点。Kerberos 对我来说是新的/陌生的。

这就是我所取得的成就:

  • 当用户首次访问站点时 - 没有 Authorization 标头,服务器以 401 + 标头响应:WWW-Authenticate=Negotiate。
  • 各种神奇的事情发生在客户端。
  • 用户返回一个 HTTP 请求,其中包含 Authorization 标头,其值如下:“Negotiate YHcGB...==”
  • 将 base64 编码的票证解码为字节数组。

从这里开始,这是一次穿越未知的恐怖之旅。据我所知,接下来的步骤应该是:

  • 使用用户登录到 AD/Kerberos/服务器。
  • 解码票证。

这就是我所拥有的:

登录.conf

 ServicePrincipalLoginContext
{
      com.sun.security.auth.module.Krb5LoginModule 
      required 
      principal="HTTP/some.server.com@MY.DOMAIN.COM" 
      doNotPrompt=true
      useTicketCache=true
      password=mYpasSword
      debug=true;
};

Java类.java

String encodedTicket = authorization.substring("Negotiate ".length());
byte[] ticket = Base64.decode(encodedTicket);       

LoginContext lc = new LoginContext("ServicePrincipalLoginContext");
lc.login();
Subject serviceSubject = lc.getSubject();
Subject.doAs(serviceSubject, new ServiceTicketDecoder(ticket));

ServiceTicketDecoder.java

public String run() throws Exception {
    Oid kerberos5Oid = new Oid("1.2.840.113554.1.2.2");

    GSSManager gssManager = GSSManager.getInstance();

    String service = "krbtgt/MY.DOMAIN.COM@MY.DOMAIN.COM";
    GSSName serviceName = gssManager.createName(service, GSSName.NT_USER_NAME);

    GSSCredential serviceCredentials = gssManager.createCredential(serviceName, GSSCredential.INDEFINITE_LIFETIME, kerberos5Oid, GSSCredential.ACCEPT_ONLY);

    GSSContext gssContext = gssManager.createContext(serviceCredentials);
    gssContext.acceptSecContext(this.serviceTicket, 0, this.serviceTicket.length);

    GSSName srcName = gssContext.getSrcName();
    return srcName.toString;
}

JavaClass.java 中的登录可以正常工作,所以我假设 login.conf 可以。在 ServiceTicketDecoder.java 中的“GSSCredential serviceCredentials = gssManager.createCredential(...”上,引发以下异常:

java.security.PrivilegedActionException: GSSException: No valid credentials provided (Mechanism level: Failed to find any Kerberos Key)

我不确定这是否是正确的方法。我也不知道“字符串服务”的价值应该是什么或如何获取该信息。你能帮助我吗?

编辑:login.conf 

 ServicePrincipalLoginContext
{
      com.sun.security.auth.module.Krb5LoginModule 
      required 
      principal="HTTP/some.server.com@MY.DOMAIN.COM" 
      doNotPrompt=true
      useTicketCache=true
      keyTab="C:/server-http.keytab" 
      debug=true;
};

我收到了一个密钥表文件。显然 HTTP/some.server.com 用户的帐户已经是服务主体帐户。我现在在 lc.login() 的 JavaClass.java 上有一个问题:

javax.security.auth.login.LoginException: KDC has no support for encryption type (14)
Caused by: KrbException: KDC has no support for encryption type (14)
Caused by: KrbException: Identifier doesn't match expected value (906)

keytab 文件使用 des-cbc-md5 加密,我在 krb.conf 文件中定义了以下内容:

[libdefaults]
default_realm = MY.DOMAIN.COM
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5

如果我将默认 enctypes 更改为例如 aes128-cts,我会收到以下异常:

javax.security.auth.login.LoginException: Do not have keys of types listed in default_tkt_enctypes available; only have keys of following type: DES CBC mode with MD5

我不明白有什么问题...

4

2 回答 2

6

Kerberos 是一个受信任的第三方安全系统:您从客户端收到的安全令牌只能由您解密,而无需联系任何 Kerberos 基础架构服务器(例如 KDC)。你走在正确的轨道上;但是,您似乎缺少可指导您进一步研究的 Kerberos 背景知识。

实现这一点的方法是,在服务器上,您需要一个包含服务器密钥的keytab文件。Kerberos 服务器(我认为是 Microsoft Windows Server)必须为您的服务创建一个服务主体帐户。管理员可以向您提供为此帐户生成的 keytab 文件,其中将包含密钥。

然后你需要配置服务器来找到这个keytab文件;它用于涉及LoginContext.login. 接受安全上下文的代码必须在doPrivileged服务器端凭据生效的代码段内执行。

于 2013-01-16T09:09:21.360 回答
-2

如果您想要的只是用户名,那么还有一种更简单的方法。

request.getUserPrincipal().getName()

http://docs.oracle.com/javaee/6/api/javax/servlet/http/HttpServletRequest.html#getUserPrincipal() http://docs.oracle.com/javase/7/docs/api/java/security/Principal.html

于 2013-06-04T00:01:59.317 回答