问题标签 [gssapi]

我正在通过 SVNSERVE 设置基于 Windows 的 Subversion 设置，在该设置下，用户通过 SASL 和 GSSAPI 对 Active Directory 进行身份验证。我知道一些供应商提供预打包的 Subversion 安装，并提供开箱即用的集成 AD 支持，但在我的情况下，这些不是一个选项。

我在 Windows 上使用 Subversion 1.7.4，在 Windows 上使用 MIT Kerberos V5 (3.2.2)，并将从 Win64 机器上的 Tortoise SVN 客户端访问存储库。SVNSERVE 在域帐户下作为系统服务运行。

对于我的存储库服务器，我相信我已经准备好所有基本部分（svn、Kerberos，SVNSERVE 推迟到 SASL 身份验证，然后配置为使用 GSSAPI 作为机制）。我现在到了尝试查询存储库会导致“无法协商身份验证机制”的地步，这是我目前所期望的，因为我还没有定义存储库主机查询 Kerberos 的 SPN。网络捕获告诉我 spn "svn/*FQDN_of_host_omitted* 不是公认的 SPN，这正是我在这一点上所期望的......

所以，虽然我知道我需要一个 SPN，但我需要一些指导来获得正确的SPN 集，因为我不能在这个测试环境中自己做（必须请求，所以我想确保我请求正确的组合）。我的信念是我需要下面列出的 SPN，但如果有人能证实我的方向正确，我将不胜感激。我很困惑是否需要 SPN 纯粹用于针对主机的 svn 服务，或通过指定帐户针对主机的 svn 服务，或两者兼而有之。

所以，我相信我可能需要以下一项或全部。哪一个（如果有的话）是对的/错的？：

提前感谢您的帮助，希望这个问题表面上不会太愚蠢:)

场景：AD 域中的 Windows 服务器托管 Subversion 存储库，仅使用 SVNSERVE（无 Apache），而不是VisualSVN。

目标：通过 GSSAPI 通过 SASL 向 Subversion 存储库的用户身份验证到通过 Kerberos 的 Windows 域。

多个站点中的频繁发帖表明用户在此配置中经常遇到“无法获取 SASL 机制列表”的死胡同。我还没有看到任何实际运行的实例。有人有这个跑吗？

我之所以问这个问题是因为 2011 年在 Gentoo 论坛上发帖时，恰好有人在这个场景中查看了相关的源 tarball，并得出结论，虽然有时这样的配置可能有效，但它所需的文件不再在源头。

在 GEntoo 论坛讨论中，发帖者声称 svnserve+gssapi+sasl 曾一度有效，但现在不再有效。

现在，我并没有断言这种说法是准确的，但我确实知道我被困在同一点上，而且我还没有看到任何声称“战胜”这种设置的帖子。有的话请告知详情！

提前谢谢了。

一段时间以来，我一直致力于在 c/c++ 应用程序中使用 GSSAPI。显然，我不得不用谷歌搜索和研究很多。我发现的最有趣的文档之一是在 Sun 的旧网站上。甲骨文接管 Sun 后，旧网站已不复存在，但不知何故，这些信息仍然存在。 http://docs.oracle.com/cd/E19253-01/816-4863/index.html 令人震惊的是，我在 Oracle 的文档中找不到任何指向上述 url 的链接。内容还包括几个 PDF 文件，幸运的是我保存在笔记本电脑上。

上面的 URL 也有一个很好的指南，介绍如何将 SASL 与 c/c++ 结合使用。

内容引用了一些包含示例源代码的 tar 文件。根据当前站点内容，该文件应位于： http ://www.sun.com/download/products.xml?id=41912db5 但不幸的是，我现在无法在该站点上找到它们。

该内容是 ac/c++ 程序员从 GSSAPI / Kerberos / PAM / SASL 开始的绝佳起点

看看甲骨文目前的网站，我坚信这些内容目前是“不小心”留下的，很快就会消失。

现在这是我对访问 stackoverflow 的奇妙黑客的问题：

1. 你能以某种方式将内容复制到某个地方，以便每个人都能享受它的好处吗？
2. 有人有我所指的 tar-ball 的副本吗？你愿意分享吗？
3. 我必须在哪里上传这些 PDF，以便每个人都能轻松受益？

我认为这些内容确实非常宝贵，而且我想不出任何其他网络资源来提供关于将 GSSAPI 与 C/C++ 一起使用的如此详尽的清晰信息。如果你能对此做点什么，请现在就做，因为我认为上面的 URL 也将很快消失。

提前致以诚挚的感谢，我向您保证，许多其他人也会感谢您。

编辑：在 Oracle 的网站上搜索了一下，我发现了指向其中一个 PDF 的链接，但已经被赋予了一个新名称： Oracle Solaris Security for Developers 如果您开始使用 GSSAPI / SASL C++

我的 Linux 服务器组使用 Kerberos 身份验证。当我尝试使用Net::SSH2连接到其中一台服务器时，auth_list()返回gssapi-keyex和gssapi-with-mic. 但是，auth()也不支持。

是否有一个 Perl 模块天真地（例如，不使用 Expect.pm）支持通过 SSH 的GSSAPI身份验证？

我尝试在我的应用程序中使用 gssapi32.dll 但在应用程序启动时收到异常

像“HTTP/proxy.domain.com@domain.com”这样的名称我在 Kerberos Ticket Tools 中看到了这个名称

但我收到“未找到凭据缓存”

也许有人已经有类似的问题？并且可以提供帮助

Windows 7 (x64) MSVS C++ 2010 速成版

谢谢你的建议，对不起我的英语

-- 编辑谢谢你的朋友 - 我想我会继续建议的方式

ldap_sasl_bind_s是否支持通过 GSSAPI 进行 NTLM 身份验证？这似乎是底层实现的变量（用于 NTLM 身份验证的 GSSAPI）。我正在尝试对 Active Directory 服务器使用 NTLM 身份验证。

我们目前使用 auth_ldap 和 apache 进行身份验证，由于安全合规性，我们必须更改 SVN 的身份验证。

要求很简单。用户无法在客户端本地保存未加密的密码。当然，个人用户可以通过编辑“服务器”将密码设置为加密，但由于公司的规模，我们无法监控这一点并确保他们正在这样做。

有哪些可用的身份验证机制？

1）SASL + GSSAPI：我一直在努力实现这一点。看起来它不再起作用了。看这里

2) [RULED OUT] SSH 密钥：添加和删除密钥需要相当多的开销。但这是可行的。被排除在外，因为我们有一些通过 https 访问的服务。

3)密码：必须有某种方法可以确保密码以加密方式存储在用户主目录中。

PS：对在 Widows 服务器上部署 repo 不感兴趣。

如果有人可以根据我的要求对可能的身份验证机制添加一些见解，我将不胜感激。

系统：Apache 和 RHEL6.2 上的 SVN 1.6.11，Windows Server 2008 R2 Active Directory。

我正在尝试使用带有 NTLM 的 Windows 凭据为 ActiveDirectory（客户端和服务器都是 Windows）创建上下文。

这是我的代码：

我的 jaas_ntlm_configuration.txt 文件包含：

当我尝试启动上下文时，出现以下异常：

有人可以帮我解决这个问题吗？

我已经在我们的 apache-active 目录环境中通过 mod_auth_kerb 实现了 SSO，它按预期工作。然而，以下知识困扰着我：

我从两台客户端机器请求了一个受 Kerberos 保护的页面，一个用户属于 Kerberos-setup 域，另一个用户属于其他某个域。然后我比较了两台机器上的 HTTP 数据包。在两台机器上，发送对 Kerberos 保护页面的请求后，服务器会使用以下 HTTP 数据包进行响应：

HTTP/1.1 401 Authorization Required Date: Wed, 05 Sep 2012 14:25:20 GMT 服务器：Apache WWW-Authenticate : 协商 WWW-Authenticate: Basic realm="Kerberos Login" Content-Length: 60 Connection: close Content-Type: text/html; 字符集=iso-8859-1

但是，在来自服务器的上述响应之后，属于 Kerberos-setup 域的客户端计算机浏览器以WWW-Authenticate : Negotiate 'token'响应，而其他客户端浏览器（属于其他某个域的用户）根本不响应.

现在我的理解是，属于另一个域的客户端也应该用它自己的 TGT+Session 密钥令牌进行响应，活动目录应该拒绝它。但是为什么这个客户端根本不响应服务器的WWW-Authenticate : Negotiate挑战超出了我的逻辑。更令人困惑的是，服务器的 HTTP 响应（如上所示）不包含有关它链接到的域的任何信息。

那么，属于正确域的客户端浏览器基于什么决定它必须响应服务器的WWW-Authenticate : Negotiate challenge，以及属于某个其他域的客户端基于什么决定不响应相同的请求？

注意：两台客户端机器都有 Windows 7，活动目录是 Windows 2008 服务器。

我正在尝试了解 mod_auth_kerb 的 SSO 实现，而这一特定知识是其中的关键。

是否可以在不使用 Kerberos 系统的情况下使用 GSSAPI 身份验证机制？

我的意思是 GSSAPI 支持例如非常接近 Kerberos 的 SPKM。例如有可能使用它吗？

我不想使用 Kerberos 的主要原因 - 因为它需要完成复杂的先决条件，用户可能不太容易完成，所以我需要在这里替代。