Java SSO: аутентификация Kerberos против Active Directory
Я все еще пытаюсь найти основанное на Java решение для SSO (работающий *, отклоняют), который я могу использовать на JBoss для авторизации против Активного Каталога/контроллера домена. Я первоначально попытался сделать это через NTLM, но сдался, потому что он не будет поддерживаться на Windows Server> = 2008.
Поэтому я пытаюсь реализовать это использование Kerberos, но кажется невозможным найти корректное/рабочее решение. Укажите на меня в правильном направлении, объясняющем, как настроить такую конфигурацию, как проверить против Active Directory и/или контроллера домена чтобы к:
- узнайте, действительна ли учетная запись и
- выберите список группы пользователя
Любая справка ценится!
ОБНОВЛЕНИЕ
Я работаю над решением с помощью jcifs-ext-0.9.4 и jcifs-krb5-1.3.12. Я настроил web.xml, как описано ниже:
<web-app>
<!-- servlet / servlet-mapping / welcome-file-list skipped -->
<filter>
<filter-name>auth</filter-name>
<filter-class>jcifs.http.AuthenticationFilter</filter-class>
<init-param>
<param-name>java.security.auth.login.config</param-name>
<param-value>/WEB-INF/login.conf</param-value>
</init-param>
<init-param>
<param-name>jcifs.spnego.servicePrincipal</param-name>
<param-value>HTTP/testconn@mydomain.com</param-value>
</init-param>
<init-param>
<param-name>jcifs.spnego.servicePassword</param-name>
<param-value>supersecret</param-value>
</init-param>
<init-param>
<param-name>sun.security.krb5.debug</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>java.security.krb5.realm</param-name>
<param-value>mydomain.com</param-value>
</init-param>
<init-param>
<param-name>java.security.krb5.kdc</param-name>
<param-value>testdom01.mydomain.com </param-value>
</init-param>
<init-param>
<param-name>jcifs.smb.client.domain</param-name>
<param-value>TESTDOMAIN</param-value>
</init-param>
<init-param>
<param-name>jcifs.http.enableNegotiate</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>jcifs.http.basicRealm</param-name>
<param-value>mydomain.com</param-value>
</init-param>
<init-param>
<param-name>jcifs.http.domainController</param-name>
<param-value>testdom01.mydomain.com</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>auth</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
Это приводит к следующему stacktrace при попытке получить доступ к приложению:
2010-07-22 15:53:10,588 ERROR [org.apache.catalina.core.ContainerBase.[jboss.web].[localhost].[/google].[default]] Servlet.service() for servlet default threw exception
java.lang.ArrayIndexOutOfBoundsException
at java.lang.System.arraycopy(Native Method)
at jcifs.ntlmssp.Type2Message.toByteArray(Type2Message.java:261)
at jcifs.spnego.Authentication.processNtlm(Authentication.java:265)
at jcifs.spnego.Authentication.process(Authentication.java:233)
at jcifs.http.Negotiate.authenticate(Negotiate.java:46)
at jcifs.http.AuthenticationFilter.doFilter(AuthenticationFilter.java:192)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:202)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:173)
at org.jboss.web.tomcat.filters.ReplyHeaderFilter.doFilter(ReplyHeaderFilter.java:96)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:202)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:173)
at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:213)
at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:178)
at org.jboss.web.tomcat.security.SecurityAssociationValve.invoke(SecurityAssociationValve.java:175)
at org.jboss.web.tomcat.security.JaccContextValve.invoke(JaccContextValve.java:74)
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:126)
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:105)
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:107)
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:148)
at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:869)
at org.apache.coyote.http11.Http11BaseProtocol$Http11ConnectionHandler.processConnection(Http11BaseProtocol.java:664)
at org.apache.tomcat.util.net.PoolTcpEndpoint.processSocket(PoolTcpEndpoint.java:527)
at org.apache.tomcat.util.net.MasterSlaveWorkerThread.run(MasterSlaveWorkerThread.java:112)
at java.lang.Thread.run(Thread.java:619)
Любая справка ценится.
3 ответа
Чтобы сделать это, вам фактически нужно использовать LDAP. К счастью для вас, Java имеет солидную поддержку как Kerberos, так и LDAP. Подробная процедура описана на http://java.sun.com/products/jndi/tutorial/ldap/security/gssapi.html .
Обзор шагов:
- Аутентификация в Kerberos
- Использование Kerberos для идентификации пользователя
- Выполнение привязки GSSAPI к серверу Active Directory LDAP
- Получение списка групп через LDAP
Вы можете использовать Waffle. Она бесплатна и поддерживает Negotiate, NTLM и Kerberos. С его помощью вы также можете проверить список групп пользователя.
"WAFFLE - Windows Authentication Functional Framework (Light Edition) - это родная библиотека на C# и Java, которая делает все для аутентификации Windows (Negotiate, NTLM и Kerberos)."
.Мы используем Jespa для обработки аутентификации NTLM, мы тестировали Tomcat и Glassfish, работающие на Solaris, поддерживаются IE и Firefox, а также Chrome теперь поддерживает NTLM. Вам понадобится лицензия для коммерческого использования, но я определенно рекомендую ее.