问题标签 [spnego]

我们有一个 Web 服务，它通过 HTTP 提供数据并通过 SPNEGO（和单点登录）对用户进行身份验证。我们想为此 Web 服务编写一个 C# 客户端。

.NET 中是否有任何标准/提供的方式来生成必要的令牌？广泛的谷歌搜索表明没有对 SPNEGO 的本机支持。

我已经在 tomcat 中设置了 SPNEGO。

我收到消息“将 NTLM 请求降级为基本身份验证”。并提示客户端输入用户名和密码。

但我想要单点登录。

我该如何调试呢？

我正在寻找一种方法来针对期望 SPNEGO（凭证协商）发生的服务器运行 GET 和 POST 请求。我希望尽可能多地使用 Ruby 1.8.x 的解决方案，但如果我没有得到任何其他东西，我会看看 Ruby 1.9.x 的可能性（到目前为止没有运气尝试过 gssapi gem - 我会更喜欢 spnego-able HTTP 客户端而不是 DYI 方法:/)。

目前，我所有的尝试都没有成功（即我没有找到任何不是仅限 Win32 的东西——我需要它与 Mac/Linux 兼容）。

我使用 SPNEGO 来验证我的 webapp。我想使用票证委托在服务器端对 LDAP 进行身份验证。但是服务器端没有票证缓存，因为登录（kinit）是在客户端完成的。请问我该怎么做？

我在 WAS7 上配置了 IBM WebSphere Portal 6.1：SPNEGO、带有自签名证书的 ssl、默认 http 传输（没有 Web 服务器）并将默认端口 10039、10029 更改为 80、443。之后 SPNEGO 在 http 上工作正常，在 https 显示标准登录形式。哪里可能出错？

我已将 spnego 配置为与 tomcat 服务器一起使用。当我在 URL 中使用计算机名称时，它工作得非常好，即 mycomuptername:8080/tools，它会自动对用户进行身份验证，并且不会向用户询问凭据。

当我在 URL 中使用 IP 地址而不是计算机名称时，即 http//10.0.0.0:8080/tools 每次用户访问该页面时都会向用户询问凭据。

一段时间以来，我一直在尝试寻找解决方案，并发现这是因为 IE 中增强的安全性，它将其中包含点的任何 url 视为 Internet 站点，而不是本地 Intranet 站点。

我尝试在区域站点中为 IE 中的本地 Intranet 站点设置添加 IP 地址，但这不起作用。

正如以下 URL 中所解释的，尝试抑制安全性，但没有奏效。 http://forums.sdn.sap.com/thread.jspa?threadID=1195402&tstart=0

我什至安装了 IE 8，但在 IE 8 上也遇到了同样的问题。

无论如何，无需用户输入凭据即可让 spnego 使用 IP 地址。

谢谢，安库尔。

有谁知道在 Windows 上运行的 Java 6 客户端在访问实现 SPNEGO 身份验证协议的 Microsoft 服务器时是否能够通过 NTLM 进行身份验证？

我的理解是，在 Windows 上运行的 Java 6 内置了对 SPNEGO 的支持，但在无法进行 kerberos 身份验证的情况下，Java 实现似乎不会尝试 NTLM 身份验证。Sun 文档中提供的Authenticator示例失败并出现401 Unauthorized错误，以响应服务器发送WWW-Authenticate: Negotiate。

下面是测试环境的说明：

目标服务器：

• Windows 2008 R2 独立服务器（不属于 AD 域）
• 使用 WCF 实现的 Microsoft SOAP 服务
• WCF 配置为 SPNEGO 身份验证（kerberos 和 NTLM）
• 无法重新配置 WCF 服务器以支持其他身份验证模式 :(

客户端机器：

• Windows 7 64 位独立工作站（不属于域）
• 运行 Sun SPNEGO 示例的 Java SE6 客户端

最终目标是使用 Apache CXF 2.4.0 在 WCF 服务器上调用 SOAP 服务。在添加 CXF 和 SOAP 的复杂性之前，我一直在尝试使用简单的 Java 测试应用程序从服务器检索 WSDL 以解决身份验证问题。

FWIW - 我可以使用 Windows 服务器的本地管理员登录从 IE 访问 WCF 服务器。我还能够在没有任何特殊授权配置的情况下创建 Delphi XE SOAP 客户端。Delphi SOAP 客户端在后台使用 WinInet。

I understand this is a long shot but, would there happen to be a clojure library for responding to kerberos over http (aka spnego) requests?

I'm currently looking into using spring-security framework for this but thought i'd ask about a more clojure friendly approach just in case.

我正在尝试按照本教程学习 spring-security-kerberos 我有一个密钥表，其中有一个主体：

此密钥表是使用以下命令在 win 2k8 域控制器上生成的：

ktpass /out http-web.keytab /mapuser aulfeldt-hta-nightly@WAD.ENG.HYTRUST.COM /princ HTTP/aulfeldt.hta.nightly@WAD.ENG.HYTRUST.COM /pass *

这是在 spnego.xml 中使用的测试 Web 服务器上复制的：

但找不到委托人：

我已尝试将 Web 服务器（Centos 5.5、tomcat6）加入 AD WAD.ENG.HYTRUST.COM 并可以使用 AD 凭据登录，然后使用 /etc/krb5.keytab 中的主体来查看它是否可以读取。 ..同样的反应。我还尝试了很多大写和小写名称的变体。

ps 今天早上从 git 中检查出来。

是否可以使用 GSSAPI 进行 NTLM v1/v2 身份验证？我正在尝试构建一个 Web 服务器，非常像 squid / apache，但我想使用 NTLM / Negotiate 协议对可能使用 IE / FireFox 的客户端进行身份验证。我尝试使用 heimdal 库，但根本无法让 gss_accept_sec_context 工作。它只是因“请求了不受支持的机制”而失败。我可以确认，在尝试 gss_accept_sec_context 之前调用 gss_acquire_cred 时，服务主体名称、spnego 的 OID 等确实正确发生。是的，当然，我通过 base64 解码授权标头提取了从客户端收到的令牌。我正在使用 C++，并在 debian 上进行试验。我相信这里有一位出色的黑客知道更多，希望能分享一些重要的线索。

提前致谢。