Authentification Tomcat avec SPNEGO / Kerberos et délégation
https://stackoverflow.com/questions/339101
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Existe-t-il un module apache qui implémente l'authentification Kerberos pour une utilisation par Tomcat et prend également en charge la délégation Kerberos?
J'ai déjà examiné mod_spnego et jette le contexte SSPI créé en ne conservant que le nom principal. Au lieu de cela, je recherche un module permettant de déléguer le ticket envoyé à Tomcat, c'est-à-dire de prendre le ticket de service envoyé pour l'authentification et de l'utiliser côté serveur pour accéder à un autre service pour le compte de l'utilisateur.
EDIT: Pour clarifier, je dois emprunter l'identité de Win32 en utilisant le contexte GSS / SSPI pour que, lorsque le code hérité se connecte à un autre serveur, les informations d'identification déléguées soient utilisées.
La solution
WAFFLE (structure fonctionnelle d'authentification Windows) fournit désormais cette fonctionnalité à partir de la v1.4beta.
Il fournit un ServletFilter qui utilise des API Windows natives pour authentifier l'utilisateur, à l'aide de l'authentification de base ou de l'authentification de négociation. L'utilisateur peut alors être imité et les appels d'API natifs seront effectués avec le jeton d'accès de l'utilisateur imité.
Autres conseils
Pourquoi ne pas utiliser le domaine JAAS et utiliser le module JAAS kerberos 5?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html #JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/sun/security/auth/module/Krb5LoginModule.html
On dirait que cela pourrait nécessiter un peu de codage, mais les pièces devraient être là.
Voici un tutoriel sur http://spnego.sourceforge.net/credential_delegation.html . Il implémente Kerberos / SPNEGO en tant que filtre de servlet HTTP et prend en charge la délégation des informations d'identification.
