问题标签 [kerberos]

以下代码用于使用 Java+Kerberos 对 Windows AD 服务器进行身份验证，它工作正常 -

以上只是一个测试程序。实际代码将在 tomcat webapp 中运行。我面临的问题是，如果 krb5.conf 文件发生更改，则如果使用早期版本的 krb5.conf 已经成功验证过一次，则不会在 tomcat 中反映出来。新的更改仅反映在 tomcat 的重新启动上。

我想知道是否有办法指定 JVM 重新加载 krb5.conf 以便它在不重新启动 JVM 的情况下获得最新更改。

我有一个 Tomcat 配置，它使用 Kerberos 5 针对 AD 服务器对用户进行身份验证，然后使用 LDAP 获取角色以针对安全约束进行授权。

server.xml 有这个：

并且 jaas 配置文件有这个：

Kerberos 身份验证效果很好。但在后续阶段（从用于授权的 LDAP 获取角色）中，serviceCredential（密码）以明文形式在 LAN 上传递。

有什么办法可以避免以明文形式发送密码？也许有一种方法可以访问 LDAP 以使用 Kerberos 票证而不是 serviceUser/serviceCredential 信息（？）来获取角色......

任何人？

我们使用 sys.utl_http 包从我们的 oracle 数据库调用 .NET Web 服务。我们还使用 sys.utl_dbws 包进行了测试。

当 .NET Web 服务没有安全性时，这可以正常工作。但是，我们希望使用 sys.utl_http 或 sys.utl_dbws 来调用具有 Kerberos 或 NTLM 身份验证的 .NET Web 服务。

我们目前正在为此苦苦挣扎。关于如何解决它的任何提示？

我有一个网页，我只希望特定组登录。

我在一所大学工作，我们使用 Active Directory 帐户，只有特定的组可以访问这个 php 页面（在 apache 服务器上）。

我知道我可以使用一些 PHP 代码来限制访问，但我想实现无缝登录。

每个人都在工作中使用 IE7（配置为传递正确的凭据），并且需要登录到计算机（将它们登录到域控制器）。

当用户访问http://intranet时，他们将自动登录，因为他们之前登录了他们的计算机。

如果用户访问http://intranet.domain.com，它将提示他们输入凭据。

我知道我需要使用 kerberos 进行身份验证，使用 LDAP 进行授权。

有没有人在无缝身份验证方面取得成功？

当我连接到我们的一个内部网站并查看事件查看器安全选项卡时，我可以看到身份验证包是 NTLM

我需要做什么才能使身份验证包是 kerberos？

该网站是一个带有 IIS 6 并使用 windows 身份验证的 ASP.NET 网站

我浏览了许多博客，这些博客告诉我，如果 Kerberos 失败，它会自动回退到 NTLM。这是真的吗？

我们目前有一个运行嵌入式 jetty 6.1.14 服务器的应用程序，我们需要通过 Kerberos 添加身份验证。我是 Kerberos 的新手，这使得这项任务比它应该做的要难大约 100 倍。我搜索了互联网，发现关于它是否可能的相互矛盾的报告，但没有什么可以提供关于如何进行的指导。

我已经设法让服务器基本上能够通过 kerberos 对用户进行身份验证，但无法让客户端自动发送其 kerberos 票证：我必须使用 from auth-method，尽管有提示这可能正在使用过滤器，这些过滤器的文档记录很差。

我的问题——我为它有点含糊而道歉，我已经很长时间没有这么生气了——是请求一些指导以在 Jetty 6 中插入没有登录表单的 kerberos 身份验证？还是我只是运气不好？有没有人将这种类型的身份验证添加到 jetty 6？

我搜索了许多博客文章，但找不到任何解决方案。

我见过很多帖子都有类似的错误，但在他们的情况下是服务器名称：

HTTP/域名

我能够获得用户前往服务器的门票。

但我真的不知道为什么我会收到这种服务器名称为空的错误。

错误是

我的配置文件如下：

登录配置

krb5.config

谁能帮我解决这个问题？

提前致谢

使用 C# 中的控制台应用程序调用 lists.asmx 获取'http 请求是未经授权的客户端验证方案'ntlm'。从服务器收到的身份验证标头是“协商，NTLM”。

环境：

• Kerberos 在 QA 和生产中打开，而不是在开发中（我知道很愚蠢，但我不管理任何盒子）
• 点击共享点网络服务以从共享点列表 (lists.asmx) 获取数据。
• 服务器使用 ssl。

我在我的 qa 环境中收到如下错误消息（无法粘贴堆栈跟踪，因为它仅在图片中）：

在每台机器上直接导航到列表都可以正常工作。

• 代码在没有启用 kerberos 的开发环境（在服务器上）中工作（应该是，但不是。我不能改变这个）。
• 代码适用于启用了 kerberos 的台式机的生产
• 代码在启用了 kerberos 的 QA 环境中不起作用。这是我得到错误的地方

要调用网络服务，我会这样做（不涉及其他与安全相关的代码）

我的 app.config 如下

背景（仅相关部分）：我们有一个大型 Intranet asp.net 2.0/3.5 应用程序。
Web 服务器是 AD 域上的 Windows Server 2003。
客户端在 Windows、IE 6-8 上。Windows 身份验证，使用从 Windows 标识创建的自定义主体。Web 服务器位于 F5 NLB 后面，该 NLB 将用户转发到特定的 Web 服务器。（原因是我们公司的 F5 处理 w/kerberos 的限制）。没有系统范围的问题，如会话丢失、超时或服务器过载，一切运行正常。

一项功能需要委托——我们以经过身份验证的用户身份连接到网络文件共享，使用域/Web 服务器提供给我们的 Kerberos 令牌。

SPN、ACL 等似乎设置正确。

99.x% 的时间，一切正常。我们经常看到的问题是，在刷新时，令牌会从 kerberos 下降到 ntlm。我可以在 Web 服务器的事件日志上看到登录，显示一个调用得到这个：

登录过程：Kerberos 身份验证包：Kerberos

随后的调用（通常在 10 或 20 个页面加载后）得到以下信息：

登录过程：NtLmSsp 身份验证包：NTLM

任何人都知道什么可能导致后续回发有时会转到 NTLM？

谢谢！