web-services - cURL 和 Siteminder 身份验证

Question

我们正在尝试使用 cURL 自动化某些数据收集。不幸的是，源系统受到站点管理员的保护。（网络访问管理软件）。

我尝试使用普通命令

curl -kL -o my_data.xml -u username:password https://example.com/location/of/file

（虽然用户名和密码正确，但显示错误）

错误

HTTP Status 401 - 
This request requires HTTP authentication ().

知道如何从站点管理员身​​份验证页面连接和获取数据吗？

干杯

Answer 1

login.fcc使用 SiteMinder 参考查找模板所需的必要参数：

• SiteMinder FCC 文件

这是一个示例 SiteMinder 请求/响应：

• 示例身份提供者交互

http://HostName.example.com:9898/SiteMinderagent/forms/login.fcc?TYPE=
33554433&REALMOID=06-1716e557-15f3-100f-b9a4-835cc8200cb3&GUID=&SMAUTHREASON=
0&METHOD=GET&SMAGENTNAME=$SM$sHjbzl4f9R%2bcSa0%2fEgnu6oUQQPMQnUgkU6Zvx5zWZpQ%
3d&TARGET=$SM$http%3a%2f%2fshivalik%2ered%2eiplanet%2ecom%3a9898%2fvalidation%
2findex%2ehtml

GET /SiteMinderagent/forms/login.fcc?TYPE=33554433&REALMOID=06-1716e557-15f3-
100f-b9a4-835cc8200cb3&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$sHjbzl4
f9R%2bcSa0%2fEgnu6oUQQPMQnUgkU6Zvx5zWZpQ%3d&TARGET=$SM$http%3a%2f%2fshivalik%2
ered%2eiplanet%2ecom%3a9898%2fvalidation%2findex%2ehtml HTTP/1.1
主机：HostName.example.com:9898
用户代理：Mozilla/5.0（Windows；U；Windows NT 5.2；en-US；rv:1.8.1.11）
壁虎/20071127 火狐/2.0.0.11
接受：text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,
text/plain;q=0.8,image/png,*/*;q=0.5
接受语言：en-us,en;q=0.5
接受编码：gzip,deflate
接受字符集：ISO-8859-1,utf-8;q=0.7,*;q=0.7
保活：300
连接：保持活动

HTTP/1.x 200 正常
服务器：网景企业/6.0
日期：格林威治标准时间 2008 年 2 月 1 日星期五 23:46:12
内容类型：文本/html；字符集=ISO-8859-1
连接：关闭
-------------------------------------------------- --------
http://HostName.example.com:9898/SiteMinderagent/forms/login.fcc?TYPE=
33554433&REALMOID=06-1716e557-15f3-100f-b9a4-835cc8200cb3&GUID=&SMAUTHREASON=
0&METHOD=GET&SMAGENTNAME=$SM$sHjbzl4f9R%2bcSa0%2fEgnu6oUQQPMQnUgkU6Zvx5zWZpQ%
3d&TARGET=$SM$http%3a%2f%2fshivalik%2ered%2eiplanet%2ecom%3a9898%2fvalidation%
2findex%2ehtml

POST /SiteMinderagent/forms/login.fcc?TYPE=33554433&REALMOID=06-1716e557-15f3-
100f-b9a4-835cc8200cb3&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$sHjbzl4
f9R%2bcSa0%2fEgnu6oUQQPMQnUgkU6Zvx5zWZpQ%3d&TARGET=$SM$http%3a%2f%2fshivalik%
2ered%2eiplanet%2ecom%3a9898%2fvalidation%2findex%2ehtml HTTP/1.1
主机：HostName.example.com:9898
用户代理：Mozilla/5.0（Windows；U；Windows NT 5.2；en-US；rv:1.8.1.11）
壁虎/20071127 火狐/2.0.0.11
接受：text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,
text/plain;q=0.8,image/png,*/*;q=0.5
接受语言：en-us,en;q=0.5
接受编码：gzip,deflate
接受字符集：ISO-8859-1,utf-8;q=0.7,*;q=0.7
保活：300
连接：保持活动
推荐人：http://HostName.example.com:9898/SiteMinderagent/forms/
login.fcc?TYPE=33554433&REALMOID=06-1716e557-15f3-100f-b9a4-835cc8200cb3&
GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$sHjbzl4f9R%2bcSa0%
2fEgnu6oUQQPMQnUgkU6Zvx5zWZpQ%3d&TARGET=$SM$http%3a%2f%2fshivalik%2ered%
2eiplanet%2ecom%3a9898%2fvalidation%2findex%2ehtml
内容类型：application/x-www-form-urlencoded
内容长度：233
SMENC=ISO-8859-1&SMLOCALE=US-EN&USER=test&PASSWORD=test&target=http%
3A%2F%2FHostName.example.com%3A9898%2Fvalidation%
2Findex.html&smauthreason=0&smagentname=sHjbzl4f9R%2BcSa0%
2FEgnu6oUQQPMQnUgkU6Zvx5zWZpQ%3D&postpreservationdata=
HTTP/1.x 302 暂时移动
服务器：网景企业/6.0
日期：格林威治标准时间 2008 年 2 月 1 日星期五 23:46:18
内容类型：magnus-internal/fcc
设置 Cookie：SMSESSION=2xm2Iw6fTMBcjA6rlK/YUY1CRBudYxwOCkfpCo95YKAp2b4ZzLOPT
qi2S14CQ7nRja+fUq53Aj0pmTxDvPKTMcKD1Ql1hGx0gPK7xx2eqMP3IyTAK3qNahRgt7mQRTIB
BDEE0rOJcpgrMRtsteC90yMdiJrrEeqfC38utU6mxO9BejwjRuGN2rmf9WM4Odl+4TE0iUOiP/k
iCR6sn2r03GBsbBjOi12oSlh/4JAyfOwxsgBJCwDiZVlFXNiKNaKdY1UQr8OcKeO33eNn3w9RW9
ZrjRibQTQcxxmiR+gsvAuM8etEzP6GCFKjc1s8I3DNuSBbDqfyt81YUSYdEYa9UKfvvOJplZOIT
BkQajcAEPOq+vTYxQ4BH2RmjdPMVcIxRm2bibM9QtuQD83C9QubTk1lq4j+ywPsvutiYEoGHV+7
6VXws5NsvhK2gH4ZTC0xsd76X2/1no8xMv9c3W4DcSp9cQQ74/7+a7gzT+hxQSpyQFf4mDTnq/D
XS5V7tcLS0EyFcf8RwSbvDPnICiebR3vtZgHRL1kEZheEh9ToHmwqIO9cCqz9rJXR7/NL+o/AQr
7M4o+LyA7KxozAueUj0pg8GINteUGVxMLWmR7Xm/Lp0pI9DjM5mfbmP8Ka+w0T6H9LHNlQGaYZA
PCkeABAXqLb8q8yJUzPdI0BVlp1awNCx579DereoCIzCZdQ99rVDSQUS77KCQATnYXrHqTxqbXxW
beDf6gk9ZCf29XTzO8hBLdScqGOBX1OvDvzdghcjHnupQf1fYltt/3MrZ/Jrxonbpgxg4C5zVgSU
PrNqb66RYWQOelZXooh7lTPoFHsMFodVnecsOZmEMXNI8DB08pyo5KhRZJk2Mr4o3rPNtiHPpnXc
d+imapuosG3FwF5Sv6flh8jbiE9/MZdIQ06hgWEIiCnUEYdboli4TWgy0/QpCbdJ7OviU275VZiC
W6hMTRyrxnEvoQ=; 路径=/; 域=.red.example.com
缓存控制：无缓存
位置：http://HostName.example.com:9898/validation/index.html
连接：关闭
-------------------------------------------------- --------
http://HostName.example.com:9898/validation/index.html
获取 /validation/index.html HTTP/1.1
主机：HostName.example.com:9898
用户代理：Mozilla/5.0（Windows；U；Windows NT 5.2；en-US；rv:1.8.1.11）
壁虎/20071127 火狐/2.0.0.11
接受：text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,
text/plain;q=0.8,image/png,*/*;q=0.5
接受语言：en-us,en;q=0.5
接受编码：gzip,deflate
接受字符集：ISO-8859-1,utf-8;q=0.7,*;q=0.7
保活：300
连接：保持活动
推荐人：http://HostName.example.com:9898/SiteMinderagent/forms/
login.fcc?TYPE=33554433&REALMOID=06-1716e557-15f3-100f-b9a4-835cc8200cb3&GUID=
&SMAUTHREASON=0&METHOD=GET&SMAGENTNAME=$SM$sHjbzl4f9R%2bcSa0%2fEgnu6oUQQPMQnUg
kU6Zvx5zWZpQ%3d&TARGET=$SM$http%3a%2f%2fshivalik%2ered%2eiplanet%2ecom%3a9898%
2fvalidation%2findex%2ehtml
Cookie：SMSESSION=2xm2Iw6fTMBcjA6rlK/YUY1CRBudYxwOCkfpCo95YKAp2b4ZzLOPTqi2S14
CQ7nRja+fUq53Aj0pmTxDvPKTMcKD1Ql1hGx0gPK7xx2eqMP3IyTAK3qNahRgt7mQRTIBBDEE0rOJ
cpgrMRtsteC90yMdiJrrEeqfC38utU6mxO9BejwjRuGN2rmf9WM4Odl+4TE0iUOiP/kiCR6sn2r03
GBsbBjOi12oSlh/4JAyfOwxsgBJCwDiZVlFXNiKNaKdY1UQr8OcKeO33eNn3w9RW9ZrjRibQTQcxx
miR+gsvAuM8etEzP6GCFKjc1s8I3DNuSBbDqfyt81YUSYdEYa9UKfvvOJplZOITBkQajcAEPOq+vT
YxQ4BH2RmjdPMVcIxRm2bibM9QtuQD83C9QubTk1lq4j+ywPsvutiYEoGHV+76VXws5NsvhK2gH4Z
TC0xsd76X2/1no8xMv9c3W4DcSp9cQQ74/7+a7gzT+hxQSpyQFf4mDTnq/DXS5V7tcLS0EyFcf8Rw
SbvDPnICiebR3vtZgHRL1kEZheEh9ToHmwqIO9cCqz9rJXR7/NL+o/AQr7M4o+LyA7KxozAueUj0p
g8GINteUGVxMLWmR7Xm/Lp0pI9DjM5mfbmP8Ka+w0T6H9LHNlQGaYZAPCkeABAXqLb8q8yJUzPdI0
BVlp1awNCx579DereoCIzCZdQ99rVDSQUS77KCQATnYXrHqTxqbXxWbeDf6gk9ZCf29XTzO8hBLdS
cqGOBX1OvDvzdghcjHnupQf1fYltt/3MrZ/Jrxonbpgxg4C5zVgSUPrNqb66RYWQOelZXooh7lTPo
FHsMFodVnecsOZmEMXNI8DB08pyo5KhRZJk2Mr4o3rPNtiHPpnXcd+imapuosG3FwF5Sv6flh8jbi
E9/MZdIQ06hgWEIiCnUEYdboli4TWgy0/QpCbdJ7OviU275VZiCW6hMTRyrxnEvoQ=

HTTP/1.x 200 正常
服务器：网景企业/6.0
日期：格林威治标准时间 2008 年 2 月 1 日星期五 23:46:18
设置 Cookie：SMSESSION=jlO0TgMQfglpU+GHQCJqbnoE2Pevax6fdzPGU7ZAgJuPb/fxTjCbWX1
B1RO6QaLJn6VoVGNK8Sy6IeILAyv+LciS/OMK1E0tSXnL5Uvit3XIuWuiSMuklyDMILOQ6n3ZSGGr
9sKBUch5YVfGcfGjHQFcBIlzegQxBRrgH/l2rc8aTEHdCrprvBiRHwQlxJbrcWMqfJw7h+HUEtiz9
bQCUkwMbpEW4eBfNyRlZTGov3K5hg4HK4tuoyvOeKdZaewlTB4Lm+QeGWo2qv2mPDP+eVtBiVtRVH
HTHGfSthTJYQOOc4rPV2dnl8axpWppGByeUmfmeService Provider9x5hVxDi91iyobTybKpDz0
bltkvnHbqwbLfehUPtJFxS3Z54y9dmiuoQ+B5Kdrs7DNuvrnAI1ZQdDKQEVA4Pt+vA9KO18ah9V1I
7BZ9D/x60uWxfaA3Ty8lRgWhMYqdBulFMD1B29sxboNHWdJ2FaxQJGjMpSEZ5iHB50ovF4YFXRyPP
5Tl7eJxIebLKX02LFrG/osNZ9UKHrMY1MRK5WWHJlYB040ADVcTNrFkc39vcYIA1eGDYhC/NaOd41
2HP5S0UX0/59ADMLBsX/qBjcdODy3li+4eZnK1oHw/9yr3LCjewJ+H9w0k0/dQw99vgwEM2RPFgH5
Y7W6k6h1efp67VKXLBiJ1OZPJe2SCEDAOUla8qsC8fQ0VWTy/TfVhVtqJOaSLZrACX7uhPzbZE1EA
Pd8x7UeJquFll3WpdnZYObd0DQLeoWZcF2rPIcfBn+8X8oig5KzvAgQ9R8MR+h7OkYfhmwwBDaQkb
KPpIxjpeLNxKpkEVWJ9HoHOpZ/txCQUAHqPV41YjZ6CQfBfUqdOHbfje9O+0pJ1aHMntI4VYZOqdx
sA+n9cgKjNQ8ruHOqSKhAQfEgipwcM2fMU3Uqmtr+0/+5bi7Cbs=; 路径=/;
域=.red.example.com
内容类型：文本/html
Etag：“dcea10a4-1-0-88”
最后修改时间：2008 年 1 月 10 日星期四 01:42:07 GMT
内容长度：136
接受范围：字节
-------------------------------------------------- --------

下图中列出的隐藏输入用于保存凭证收集器的状态：

FCC 可以解释许多调用非标准处理的特殊名称/值对 (@directives)。特殊的@directives 及其含义如下：

特殊名称/值对

保存后数据
用户通过发布请求提交的数据。

用户名
登录用户名的名称。

密码
执行登录的密码。

目标
登录后访问的资源。

邮件头
要包含在命名空间中的以冒号分隔的响应名称列表。冒号分隔的列表必须包含要包含在事务中的每个标头的条目。例如，如果您想将 header1 和 header2 的值作为事务的一部分传递，请在您的 FCC 中包含以下行：

@smheaders=header1:header2

错误页面
如果自定义表单的 POST 出现错误，用户浏览器将被重定向到此页面。如果 .fcc 文件中未指定此特殊值，则系统使用与 .fcc 文件关联的 .unauth 文件作为错误页面。

剧集
指定允许的最大登录尝试次数。如果将此指令设置为 0，则重试次数不受限制。如果您将数字设置为 1 或更大，那就是允许的重试次数。

注意：如果用户使用 POST 登录到 .fcc 表单，则用户可能会获得超出 smretries 指令值的额外登录尝试。但是，仅当在 smretries 指定的尝试次数中输入了有效凭据时，才允许用户访问。

smpasswordfcc
确定是从密码服务 FCC 文件还​​是从不同的 FCC 文件发布数据。

默认值：1

重要的！我们建议您使用默认值。如果更改默认值，SafeWord 身份验证方案可能无法正常工作。

短信
描述用户被挑战/登录失败的原因的文本。

阴谋论
与登录失败关联的原因代码。

smsavecreds
设置为 Yes 以将用户凭据保存在用户浏览器上的持久 cookie 中。

短信保存
要保存为持久 cookie 的冒号分隔的名称列表。

节省
smsave 的另一个名称。

瞬态的
要保存为临时 cookie 的冒号分隔的名称列表。

smagentname
指定当用户输入凭据并提交表单以进行身份​​验证时提供给 Policy Server 的代理名称。如果 Agent 参数 FCCCompatMode=NO，则使用该指令指定一个值。

注销
将用户从系统中注销，类似于 LogoffUri 参数。通过在您的 .fcc 模板中放置 @smlogout=true，FCC 会注销用户并将用户重定向到目标。因此，@smlogout 指令通常与 @target 指令 (@target=) 一起使用。

urlcode（名称）
替换为命名变量的 URL 编码值。

注意：如果您希望附加属性或密码包含特殊字符（" . & = + ? ; / : @ = , $ %），请对 .fcc 模板文件中的每个附加属性值进行 URL 编码。模板使用 US -ASCII 编码。
urldecode（名称）
替换为命名变量的 URL 解码值。

注意：名称/值对的“sm”前缀是为系统需要的其他特殊名称保留的。为登录页面创建名称时，不要使用“sm”前缀。

本地化名称/值对
.fcc 模板文件包括两个本地化参数：

smlocale
用于确定收集用户信息或显示状态消息的 HTML 表单中使用的语言。

与 smlocale 配对的值对应于本地化属性文件名称的一部分。本地化属性文件包含映射到指定语言的文本字符串的 ID。

smlocale 值具有以下格式：

国家语言

例如，美国英语的 smlocale 值为：

SMLOCALE=US-EN

smenc
包含告诉浏览器使用何种语言编码的信息。更改此变量的默认值会覆盖以下 META 标记中设置的编码：

.fcc 文件至少必须收集以下内容：

用户名

密码

目标

重要的！如果用户将向受使用凭证收集器的身份验证方案保护的资源提交发布请求（请参见下图），请使用 postpreservationdata 输入。否则，用户尝试发布到请求资源的数据将丢失。

参考

• SiteMinder FCC 文件

• 密码服务如何工作

• 表单凭证收集器

• 如何使用 HTTP 请求连接到 SiteMinder 受保护的资源

• CA Siteminder login.fcc 表单 xss 漏洞

• 使用 Domino Document Manager 7 进行 Netegrity SiteMinder 身份验证

Answer 2

You would need to post your credentials to the .fcc file, and manage the cookies that SM returns (look for SMSESSION cookie)