2

我们有什么?

  1. 客户端:win8,ie11,使用域凭据登录系统。

  2. 服务器:3 个 tomcat7 节点在 apache 2.2.22 之后运行。应用程序使用 waffle 库对以 sso 方式登录域的 windows 用户进行身份验证。

  3. 应用程序使用弹簧安全性,关于这个主题的主要内容是通过表单处理登录的过滤器位于处理身份验证标头的过滤器之前。

  4. NegotiateSecurityFilterProvider 仅支持 Negotiate 协议,不支持 NTLM

我们所做的?

  1. 通过直接链接进入应用程序:https ://app.domain.com/app_name/subordinates.do 。没关系,我们正在承载有效的 kerberos 标头(这很好,而且很大的一个 kerberos 令牌,提琴手将其描述为“授权标头(协商)似乎包含 kerberos 票证”^^)并且应用程序端的 waffle 通过 kerberos 回复将我们传递到内部.

  2. 登出。

  3. 通过登录页面上的表单登录:我们使用用户名和密码进行发布请求,我们再次使用相同的 kerberos 令牌。应用程序使用用户名和密码在 waffle WindowsAuthenticationProvider 的帮助下登录我们。在这里,我们在丰富 NegotiateSecurityFilter 之前获得身份验证,因此在来自服务器的回复中没有任何 kerberos 标头。无论如何,一切都很好。

现在我们通过操作系统登录到 MS 帐户。神奇的事情发生了。

当尝试通过直接链接登录时,我们在登录页面上收到“指定的句柄无效”错误作为 SPRING_SECURITY_LAST_EXCEPTION 常量。我的猜测是我们发送了某种无效的授权标头

当尝试通过表单登录时,我们得到“参数不正确”。在这里我认为我们发送带有空正文的 ntlm 类型 1 POST 请求,但我们仍然有无效的标头,因此应用程序无法识别它并且没有发送 401 回复,然后华夫饼向 AD 发送空名称,这里出现错误(只是猜测)

但是,当我打开 fiddler 以查看实际发生的情况时,一切都开始正常工作,就像登录 MS 帐户之前一样。
好的,为了弄清楚将什么标头发送到服务器,我在 cmd 文件中使用了一些代码:

UDPATED添加代码和输出

    var cookieContainer = new CookieContainer();
    var authRequest = (HttpWebRequest) WebRequest.Create("https://app.domain.com/app_name/home.do");
    var credentials = CredentialCache.DefaultNetworkCredentials;
    authRequest.Credentials = credentials;
    authRequest.CookieContainer = cookieContainer;
    authRequest.AllowAutoRedirect = false;
    var authResponse = (HttpWebResponse)authRequest.GetResponse();
    Console.WriteLine("Request headers:");
    foreach (string header in authRequest.Headers.AllKeys) {
        Console.WriteLine("\t{0}: {1}", header, authRequest.Headers.Get(header));
    }
    Console.WriteLine("\nResponse: {0} {1}", (int)authResponse.StatusCode, authResponse.StatusDescription);
    Console.WriteLine("Response headers:");
    foreach (string header in authResponse.Headers)
    Console.WriteLine("\t{0}: {1}", header, authResponse.GetResponseHeader(header));
    foreach (var cookie in cookieContainer.GetCookies(new Uri("https://app.domain.com/app_name/")))
    Console.WriteLine("Received cookie: {0}", cookie);
    Console.WriteLine("\nPress ENTER to exit");
    Console.ReadLine();

这是我得到的:

    Request headers:
        Authorization: Negotiate oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8=
        Host: {host}
        Cookie: JSESSIONID={sessionId}
    Response: 302 Found
    Response headers:
        Vary: Accept-Encoding
        Content-Length: 0
        Content-Type: text/ plain; charset=UTF-8
        Date: Tue, 04 Feb 2014 11:44:15 GMT
        Location: https://app.domain.com/app_name/login.do?error_code=1
        Server: Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.37
    Received cookie: JSESSIONID={sessionId}

它肯定比提琴手在身份验证工作时看到的 kerberos 小得多。

所以问题是:
1. 为什么登录到 MS 帐户会影响发送到服务器的标头?
2. 为什么fiddler打开就开始工作?
3.这个头是什么类型的:协商oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8=,服务器应该如何处理?

2014 年 3 月 17 日更新: wireshark 捕获在 tgs 请求后显示 KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN 错误,提到服务器 - 带有 apache 的机器名称。在与支持团队进行调查后,我们发现用于在不同节点上运行 tomcat 服务器的特殊用户没有 spn 用于具有 apache 的机器的域名(它有 spn 用于资源域名,但没有用于当前机器)。添加 spn 后问题消失了。

4

1 回答 1

1

解码 oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8= 后,我们可以看到它包含 NTLMSSP(新版本)。

检查浏览器配置: 在 Internet Explorer 中:网页应位于“本地 Intranet”区域(在用户自动登录的区域中)并且 IWA 已启用集成 Windows 身份验证。

如果不是这样,请在 Wireshark 中查看 dns 和 kerberos 数据包。

检查 DNS:IE 使用 dns 将网络服务器地址解析为主体名称。CNAME 地址解析为 A 地址。如果未找到,IE 将根本不会请求 Kerberos 服务票证(并将回退到 NTLM)。

检查 SPN:当 Active Directory 找不到请求的主体(或那里或两个,或更多)时。然后 IE 又回到 NTLM。

于 2014-02-04T10:59:08.870 回答