问题标签 [kerberos]

I'm using javamail to check an IMAP inbox, and at the moment I'm simply logging into the IMAP server by storing the username and password. Our security policy at work requires this to be kerberised however.

I've been reading up on javamail, IMAP and kerberos, and some resources say it isn't possible, whilst others suggest it is possible. And unfortunately I couldn't find any examples showing how to connect via. kerberos.

I was just wondering if anybody could confirm/deny whether it is possible to connect to an IMAP server via. kerberos with javamail, and if anybody has come across any resources that may be useful it would be very much appreciated.

Thanks,

Martin.

我关注了许多 msdn 文章和 codeplex 指南，但无法让 WCF 与 Kerberos 身份验证和委派一起使用，希望能得到一些帮助。

设置

我在远程机器上的 IIS 网站中有 WCF 服务

• Windows 2003 R2 上的 IIS 6.0 - SP 2
• 已添加机器的 SPN (http/myserver && http/myserver:8080)
• 已为 IIS 应用程序池创建 AD 帐户
• AD 帐户具有设置，允许委派（对于 Kerberos），设置为 true

我在 8080 上使用Brian Booth 的调试站点，该站点通过了 Kerberos 委派的所有要求。调试 IIS 站点关闭了匿名身份验证，并打开了集成 Windows 身份验证。

我已将这些设置镜像到托管 WCF 服务的站点。

网络服务 - 网络配置（原始）

网络服务 - 网络方法

客户端应用程序 - 应用程序配置

应用程序错误

当我的测试应用程序（一个 WinForms 应用程序）尝试调用 web 方法时，会出现以下错误：

“HTTP 请求未经客户端身份验证方案‘匿名’未经授权。从服务器收到的身份验证标头是‘协商，NTLM’。”

事件簿

事件日志中出现以下错误：

异常：System.ServiceModel.ServiceActivationException：由于编译期间出现异常，无法激活服务“/Service.svc”。异常消息是：此服务的安全设置需要“匿名”身份验证，但托管此服务的 IIS 应用程序未启用它。

我不明白。该服务的重点是不允许匿名身份验证，每个用户/请求都必须使用 Kerberos 票证进行身份验证，然后将它们传递给其他机器。

我应该如何为 Kerberos 身份验证和委派配置此 WCF 服务？

修订版 1

在阅读了这个 SO question之后，我删除了元数据端点。这并没有解决问题。

修订版 2

经过更多研究，我发现一些帖子建议将 wsHttpBinding 更改为 basicHttpBinding。对 web.config 的该部分的修改已包含在下面，并且服务端点已更新为引用该绑定。

Web 服务 - Web Config（修订版）

客户端应用程序 - 应用程序配置（修订）

错误（修订）

当前错误看起来像是包含 Kerberos 身份验证标头。

HTTP 请求未经客户端身份验证方案“协商”的授权。从服务器收到的身份验证标头是 'Negotiate SOMEHUGESARYKEYHERE

我有一个基于 CakePHP 的网络应用程序。目前它正在使用内置的 AuthComponent 和 ACL 功能进行用户身份验证/访问控制。

在我们的整个组织中，我们有许多应用程序（Web 和其他）都需要它们自己的用户/通行证组合。我们公司希望将尽可能多的内部应用程序迁移到“单点登录”功能，并希望将 Kerberos 用于中央用户存储。

我想知道是否有人可能通过修改 AuthComponent 来针对允许使用应用程序本身的用户的应用程序级数据库进行验证，然后与 Kerberos 通信（假设找到用户）以验证用户的 uname/pwd 组合来攻击这个.

任何意见，将不胜感激。

据我所知，FireFox 和 Safari 暂时无法在 SharePoint 上下文中使用 Kerberos，但为什么会这样，我们是否应该期望 FireFox 和 Safari 都在 SharePoint 2010 时间范围内发挥作用？

我目前正在将 CMS（用 PHP 开发）身份验证与 Active Directory 集成。这个特定的 Active Directory 只允许通过 Kerberos 或 ldaps:// 进行身份验证（但最后一个不是最想要的，因为我必须使用绝对路径）。

我一直在网上搜索有关 PHP AD Kerberos 身份验证的任何信息，但一无所获。谁能指出我正确的方向？

提前致谢。

由于 OS X 10.6 中 Kerberos 的新限制，我正在开发一个脚本，该脚本提供与 10.5 中过去可用的功能类似的功能。本质上，它会解析 klist 输出以查看您的票证是否到期，并显示到期时间。如果我们达到 10 分钟的标记，它会调用 kinit 来执行 GUI 密码提示以询问您的 kerberos 密码。如果票已过期，它会执行相同的操作。

该脚本确保 kinit 在再次调用之前没有运行，因此我们没有多次 kinit 调用，并且该脚本工作得非常好（从 GeekLog 中调用，以便您可以查看状态）。问题是今天早上我去解锁屏幕时我的系统正在给旋转的沙滩球。我怀疑我的脚本和/或 kinit 做某事；该机器可通过 ping 访问，但对 ssh 或 AFP 无响应。

所以我想要做的是检测屏幕是否被锁定或屏幕保护程序是否被启用。我发现在以前版本的 OS X 上，您可以使用 grep for ScreenSaverEngine 来确定它是否处于活动状态，但似乎不再是这种情况了。

那么如何使用命令行工具确定屏幕是否被锁定或以其他方式使用？如果屏幕被锁定，我希望脚本简单地退出，这样它就不会打扰 klist 或尝试执行 kinit。我希望这能防止我今天早上经历的锁定。有任何想法吗？

如何在 IIS 中使用 ASP.Net kerberos 协议和 LDAP 实现集成 Windows 身份验证？

I am trying to run a tomcat JNDIRealm using using Kerberos for authentication (authentication="GSSAPI").

However, I'm getting this:

I have this in server.xml:

any idea what I am missing here?

我已经阅读了很多关于 WCF 客户端客户端端点元素的文章和文章，但我仍然有点困惑。我有一个客户端在尝试与 net tcp WCF 服务通信时出现 SSPI 错误。但是，当我将以下内容添加到配置中时，它可以正常工作

现在从我读到的内容来看，这是告诉服务使用 NTLM 而不是 Kerberos。但是，我仍然没有得到它。

有没有人有时间简单地为我解释一下。那么，这里发生了什么，关于 NTLM 和 Kerberos 差异的一些背景知识，为什么它可以与一个而不是另一个一起工作，为什么这个元素不需要值，如何配置不需要的服务它以及为什么需要它？

谢谢

请帮助我解决 kerberos+Java 问题。我有一个简单的 Java 程序来使用 Kerberos 对 Windows Active Directory 进行身份验证。以下 java 代码可以正常工作，没有任何问题，并且打印结果为 true-

当我指定 krb5.conf 文件的路径而不是手动指定领域和 kdc 时，它会出错，提示“空领域名称 (601) - 未指定默认领域”。以下是代码-

krb5.conf 的内容如下——