SPNEGO / Kerberosおよび委任を使用したTomcat認証
質問
Tomcatで使用するためにKerberos認証を実装し、Kerberos委任もサポートするApacheモジュールはありますか?
すでにmod_spnegoを見ており、作成したSSPIコンテキストを破棄して、プリンシパル名のみを保持しています。代わりに、Tomcatに送信されるチケットの委任を許可するモジュールを探しています。つまり、認証のために送信されたサービスチケットを取得し、サーバーサイドを使用してユーザーに代わって別のサービスにアクセスします。
編集:明確にするために、レガシーコードが別のサーバーに接続するときに委任された資格情報が使用されるように、GSS / SSPIコンテキストを使用してWin32で偽装する必要があります。
解決
WAFFLE (Windows認証機能フレームワーク)は、v1.4beta以降の機能を提供するようになりました。
基本認証またはネゴシエート認証を使用して、ネイティブWindows APIを使用してユーザーを認証するServletFilterを提供します。その後、ユーザーになりすますことができ、なりすましユーザーのアクセストークンを使用してネイティブAPI呼び出しが実行されます。
他のヒント
JAASレルムとkerberos 5 JAASモジュールの使用はどうですか?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html #JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html
少しコーディングが必要なように見えますが、断片はそこにあるはずです。
http://spnego.sourceforge.net/credential_delegation.html チュートリアルです。 HTTPサーブレットフィルターとしてKerberos / SPNEGOを実装し、資格情報の委任をサポートします。