问题标签 [spring-security-kerberos]

有没有人知道如果在域之间建立信任，是否可以使用 spring-security-kerberos 提供跨域身份验证？我在 Tomcat 7 下的 Windows 2008 R2 服务器上使用 spring-security 和 spring-security-kerberos 运行标准 Java Web 应用程序。

编辑：

运行 Java 1.6.0_30

我目前的 krb5.ini

我在谷歌上搜索了很多关于这个问题的信息，但仍然没有找到，为什么会这样。当用户在浏览器中取消 BASIC auth 表单时，会出现空白页面。

在 Tomcat webapp 中设置了 401 页面，在 Firebug 中我可以看到 401 Unauthorized。

也许响应中缺少一些标题？

请帮忙！提前非常感谢。

更新我认为，我的帖子信息量不够：还有 BASIC auth 和 Spring Kerberos auth 的组合，当出现空白页时，标题是：

WWW-Authenticate Negotiate Basic realm="MyRealm"

我想下载这张票spring-security-kerberos-core.jar中提到的版本，即或以上。我找不到合适的地方下载它。除了这个，主站点不会带您到任何地方。krb-1.0.0.RC1

我正在关注这篇文章http://blog.springsource.com/2009/09/28/spring-security-kerberos/在本地服务器上设置服务主体，我将使用它来测试 spring 安全集成与活动目录。服务器运行了tomcat，我在其中部署了我的应用程序，我通过以下方式访问它http://localhost:8080/myapp

问题

我的服务提供商名称应该是什么？

文章说：

为此，每个 Web 应用程序都需要在 Kerberos 服务器上注册并获得服务主体和分配的共享密钥。对于 Web 应用程序，服务主体必须是“HTTP/@DOMAIN”。例如“HTTP/web.springsource.com@SPRINGSOURCE.COM”，如果您的应用在 web.springsource.com 上运行。

既然我正在跑步，localhost我想这将是HTTP/localhost@....我要代替的@SPRINGSOURCE.COM?

我正在尝试在我的项目中使用 Kerberos 身份验证。这是我公司的内部服务，我想对用户进行身份验证，并从我们的 Active Directory 中检索用户组。为此，我使用了 Spring Security、Kerberos 扩展和我们公司的 AD。

问题：我可以使用 Kerberos 进行身份验证，但我们在 AD 上的域是“WAN.CORP.COM”。因此，我使用 username@WAN.CORP.COM 获取我的用户，并且我无法在 AD 上询问此过滤器（userPrincipalName 类似于 username@corp.com）。

我的 security.xml 包含：

但是 Spring Security 发送异常，因为它无法检索 user@WAN.CORP.COM...

任何人都可以帮助我吗？我想直接由 Spring Security 制作，如果没有，我想我可以在 DummyUserDetailsS​​ervice 中获取信息，对吗？

非常感谢，对不起我的英语不好......

我们正在 JBoss AS 7.1.1 上的 OWF 7（臭氧小部件框架）中配置 Spring Security Kerberos 扩展。我们看到以下错误：

我看到了一篇关于堆栈溢出的帖子（“检测到缺陷令牌”错误（NTLM 不是 Kerberos）与 Kerberos/Spring Security/IE/Active Directory）并认为有人可以帮助我解决我们的情况。

我们的设置：

JDK 1.6.0_31 JBoss AS 7.1.1.Final 在 x86_64 Windows Server 2008 Active Directory Spring Security Kerberos Extension M2 上运行在 Red Hat Enterprise Linux Server 版本 6.2 (Santiago) 内核 2.6.32-220.el6.x86_64 上（配置如下他们的博客中提供的说明：http: //blog.springsource.com/2009/09/28/spring-security-kerberos/）Firefox 21（在 VM 上运行）IE 10（在 VM 上运行）

从上面列出的上一篇文章中可以看出，AD 服务器正在向 IE 发送 NTLM 令牌，而 IE 正在向应用程序发送此令牌。我们的应用服务器（JBoss）、AD 服务器和客户端（IE、Firefox）在不同的机器上加入到同一个域中。以下是 JBoss 所在的 linux 框 /etc 文件夹中的 krb5.conf 文件：

在 [domain_realm] 块下，前 2 个条目中不会包含 .mycompany。这是一个问题吗？

我们通过运行以下命令生成了 keytab 文件： ktpass /princ HTTP/jaguar.enterpriselabs.mycompany.com@ENTERPRISELABS.MYCOMPANY.COM /mapuser jaguar@ENTERPRISELABS.MYCOMPANY.COM -crypto all -pass password -ptype KRB5_NT_PRINCIPAL -out c :\jaguar-host.keytab

我们将生成的 keytab 文件复制到 JBoss 上应用程序的 WEB-INF/classes 文件夹中。当我们联系我们的技术支持时，他们还提到创建的测试用户帐户已选中“Kerberos 身份验证”复选框。我认为当我们登录到域时，我们使用 kerberos 而不是 NTLM 进行了身份验证（我不知道它是否正确）。但是，这并没有帮助我们摆脱上述问题。我使用 fiddler 并在其中一个屏幕中看到了“NTLM 身份验证”。请帮助我们调试此问题。我认为问题出在 AD 某处，不知道在哪里寻找答案。我们是否必须遵循任何特定步骤来确保我们的 AD 配置正确？有没有办法配置 AD 服务器发送 Kerberos 令牌？

我已经使用 kerberos 身份验证成功地获得了 Spring Security。但似乎 spring 框架正在调用 KerberosServiceAuthenticationProvider.userDetailsS​​ervice 来获取角色，我原以为它只会获取一次角色，直到会话无效。我的配置看起来像

所以每次请求安全页面时都会调用我的 DummyUserDetailsS​​ervice.loadUserByUsername(Styring username)，我正在从数据库中加载用户角色并且不想在每次发出请求时都运行查询，是否有任何配置我需要做什么来防止这种情况？

我正在使用带有 spring security 的 kerberos/spnego 身份验证来验证来自 Active Directory 服务的用户，客户端是 Windows 7。我对 kerberos 票证续订过程感到担忧。我知道票证的有效期为 10 小时，当用户启动和使用 kerboros 票证的应用程序并且他的机器上存在的票证已过期时会发生什么，浏览器会自动向 AD 服务器请求新票证还是身份验证失败？

我希望用户通过使用其 Windows 登录凭据进行身份验证，而无需明确显示他的登录页面。用户只需登录他的机器，当我们尝试打开 url 时，spring security 将使用他的 windows 登录凭据对他进行身份验证，并且将从 AD 获取与其角色相关的数据。我怎样才能做到这一点？添加到这个问题，如果机器是非窗口我需要做什么？说CentOS？

我正面临使用 spnego spring 安全扩展来实现 SSO 并为大型 spnego 令牌获取错误请求（错误 400）的问题。

我正在使用 jboss-eap 6.1，如何增加 HTTP 标头的大小，我在 domain.xml/standalone.xml 中看不到选项