Autenticación de Tomcat con SPNEGO / Kerberos y delegación
https://stackoverflow.com/questions/339101
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Existe un módulo apache que implemente la autenticación Kerberos para que Tomcat lo use y que también admita la delegación Kerberos?
Ya he visto mod_spnego y tira el contexto SSPI que crea solo manteniendo el nombre principal. En cambio, estoy buscando un módulo que permita la delegación del ticket enviado a Tomcat, es decir, tomar el ticket de servicio enviado para autenticación y usarlo del lado del servidor para acceder a otro servicio en nombre del usuario.
EDITAR: para aclarar, necesito suplantar bajo Win32 usando el contexto GSS / SSPI para que cuando el código heredado se conecte a otro servidor, se usen las credenciales delegadas.
Solución
WAFFLE (Marco funcional de autenticación de Windows) ahora proporciona esa característica a partir de v1.4beta.
Proporciona un ServletFilter que utiliza API nativas de Windows para autenticar al usuario, ya sea mediante autenticación básica o de negociación. El usuario puede suplantarse y las llamadas a las API nativas se realizarán con el token de acceso del usuario suplantado.
Otros consejos
¿Qué tal usar el reino JAAS y usar el módulo kerberos 5 JAAS?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html #JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html
Parece que podría requerir un poco de codificación, pero las piezas deberían estar allí.
Aquí hay un http://spnego.sourceforge.net/credential_delegation.html tutorial. Implementa Kerberos / SPNEGO como un filtro de servlet HTTP y admite la delegación de credenciales.
