SPNEGO/KERBEROS 및 대표단을 사용한 Tomcat 인증
문제
Tomcat에서 사용하기 위해 Kerberos 인증을 구현하고 Kerberos 대표단을 지원하는 Apache 모듈이 있습니까?
나는 이미 mod_spnego를 살펴 보았고 그것은 주 이름 만 유지하는 SSPI 컨텍스트를 버립니다. 대신, 나는 Tomcat에 전송 된 티켓의 위임을 허용하는 모듈을 찾고 있습니다. 즉, 인증을 위해 보낸 서비스 티켓을 가져 와서 IT 서버 측면을 사용하여 사용자를 대신하여 다른 서비스에 액세스 할 수 있습니다.
편집 : 명확히하기 위해서는 GSS/SSPI 컨텍스트를 사용하여 Win32에 따라 가장해야하므로 레거시 코드가 다른 서버에 연결되면 위임 된 자격 증명이 사용됩니다.
해결책
와플 (Windows Authentication Functional Framework)는 이제 V1.4BETA에서 시작하는 기능을 제공합니다.
기본 Windows API를 사용하여 기본 또는 협상 인증을 사용하여 사용자를 인증하는 ServletFilter를 제공합니다. 그런 다음 사용자는 가장 할 수 있으며, 기본 API 호출은 가장 한 사용자의 액세스 토큰으로 수행됩니다.
다른 팁
JAAS 영역을 사용하고 Kerberos 5 Jaas 모듈을 사용하는 것은 어떻습니까?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#jaasrealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/krb5loginmodule.html
약간의 코딩이 필요한 것 같지만 조각이 있어야합니다.
여기에 있습니다 http://spnego.sourceforge.net/credential_delegation.html 지도 시간. Kerberos/Spnego를 HTTP 서블릿 필터로 구현하고 자격 증명 대표단을 지원합니다.