Аутентификация Tomcat с использованием SPNEGO / Kerberos и делегирование
есть ли модуль apache, который реализует проверку подлинности Kerberos для использования Tomcat, а также поддерживает делегирование Kerberos?
Я уже смотрел на mod_spnego, и он отбрасывает контекст SSPI, который он создает, сохраняя только имя участника. Вместо этого я ищу модуль, который позволил бы делегировать билет, отправленный в Tomcat, то есть взять сервисный билет, отправленный для аутентификации, и использовать его на стороне сервера для доступа к другой службе от имени пользователь.
EDIT: чтобы уточнить, мне нужно олицетворять под Win32, используя контекст GSS/SSPI, поэтому, когда устаревший код подключается к другому серверу, используются делегированные учетные данные.
3 ответов
вафельницы (Windows Authentication Functional Framework) теперь предоставляет эту функцию, начиная с v1.4бета.
Он предоставляет ServletFilter, который использует собственные API Windows для аутентификации пользователя, используя базовую или согласованную аутентификацию. Затем пользователь может быть олицетворен, и собственные вызовы API будут выполняться с помощью маркера доступа олицетворенного пользователя.
Как насчет использования области JAAS и использования модуля kerberos 5 JAAS?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html
похоже, это может потребовать немного кодирования, но части должны быть там.
вот http://spnego.sourceforge.net/credential_delegation.html учебник. Он реализует Kerberos / SPNEGO в качестве фильтра сервлетов HTTP и поддерживает делегирование учетных данных.