CAS5.1集成SPNEGO

最新推荐文章于 2024-05-11 21:43:12 发布
最新推荐文章于 2024-05-11 21:43:12 发布
阅读量370 收藏
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenming3030/article/details/124987198
版权

Windows加入AD域后,想实现用登录计算机的AD域账号密码,登录各个web应用站点。即浏览器访问web站点时,不需要输入用户密码,自动使用登录windows系统时的AD账号登录。

CAS官网地址:
https://apereo.github.io/cas/5.1.x/installation/SPNEGO-Authentication.html

AD域服务器上生成keytab文件

  1. 在AD域中,创建1个域账号,密码设置为永不过期

  2. 使用上面创建的域账号,创建SPN(服务主体名称)
    使用administrator账户登录AD域控服务器,在命令行运行以下命令:

    setspn  -S  HTTP/cas.test.com@apitest.domain.com  loginName

    参数说明:
    cas.test.com:CAS服务器域名
    apitest.domain.com:AD域服务器的域名
    loginName:域登录账号

    SPN:Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联

  3. 生成keytab文件
    使用administrator账户登录AD域服务器,在命令行运行以下命令:

    ktpass /out cas.keytab /princ HTTP/cas.test.com@APITEST.DOMAIN.COM /pass * /mapuser loginName@APITEST. DOMAIN.COM  /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

    参数说明:
    cas.keytab:生产的keytab文件名
    cas.test.com:CAS服务器域名
    APITEST.DOMAIN.COM:AD域服务器的域名(必须大写)
    loginName:域登录账号

搭建Kerberos

认证原理

https://www.jianshu.com/p/fc2d2dbd510b
https://blog.csdn.net/wulantian/article/details/42418231

Kerberos和CAS需要安装在同一台服务器上,且该服务器必须有域名

  1. 解压缩安装包:krb5-1.17.tar.gz(Linux版Kerberos)

  2. 进入到安装包src目录下,编译安装

    root@src#    ./configure
root@src#     make && make install

    编译时可能会出现一些依赖错误,需要解决

  3. 修改Kerberos配置文件 /etc/krb5.conf

    [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = APITEST.DOMAIN.COM
 default_keytab_name = /root/cas.keytab
 dns_lookup_realm = true
 dns_lookup_kdc = true
 default_tkt_enctypes = rc4-hmac
 default_tgs_enctypes = rc4-hmac

[realms]
 APITEST.PACTERA.COM = { 
  kdc = apitest.domain.com:88
 }

[domain_realm]
  .apitest.pactera.com = APITEST.DOMAIN.COM
  apitest.pactera.com = APITEST.DOMAIN.COM

  4. 查看是否安装成功

    klist -k
Keytab name: FILE:/home/cas/kerberos/cas.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 HTTP/cas.test.com@APITEST.DOMAIN.COM

    类似上面的结果,说明keytab文件能正常识别

    注意:JDK bin目录里也有klist命令,会和Kerberos的命令冲突,建议到Kerberos安装目录下执行klist

搭建CAS

  1. 添加依赖
    <dependency>
	<groupId>org.apereo.cas</groupId>
	<artifactId>cas-server-support-spnego-webflow</artifactId>
	<version>${cas.version}</version>
</dependency>
<dependency>
	<groupId>org.apereo.cas</groupId>
	<artifactId>cas-server-support-ldap</artifactId>
	<version>${cas.version}</version>
</dependency>
  2. 添加配置
    #如果在域环境中,使用域账户登录,免登
cas.authn.spnego.kerberosConf=/etc/krb5.conf
cas.authn.spnego.jcifsServicePrincipal=HTTP/cas.test.com@APITEST.DOMAIN.COM
cas.authn.spnego.loginConf=classpath:login.conf
cas.authn.spnego.kerberosKdc=10.12.30.160
cas.authn.spnego.jcifsDomain=cas.test.com  #cas服务器域名
cas.authn.spnego.kerberosDebug=true
cas.authn.spnego.kerberosRealm=APITEST.DOMAIN.COM
cas.authn.spnego.ntlm=false
cas.authn.spnego.jcifsServicePassword=abcd-123  #生成keytab文件域账号的密码

#不是域用户,需要输入AD域账号密码登录
cas.authn.ldap[0].type=AUTHENTICATED
cas.authn.ldap[0].ldapUrl=ldap://172.16.253.237:389
cas.authn.ldap[0].useSsl=false
cas.authn.ldap[0].connectTimeout=5000
cas.authn.ldap[0].baseDn=DC=apitest,DC=domain,DC=com
cas.authn.ldap[0].userFilter=(|(sAMAccountName={user})(mail={user})(mobile={user}))
cas.authn.ldap[0].subtreeSearch=true
cas.authn.ldap[0].bindDn=shiyonghui     #域账号密码
cas.authn.ldap[0].bindCredential=abcd-123
  3. 添加配置文件login.conf,放到CAS classpath目录下
    jcifs.spnego.initiate {
   com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/root/cas.keytab";
};
jcifs.spnego.accept {
   com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/root/cas.keytab";
};
    指定keytab文件的位置

浏览器配置

免密登录,需要浏览器开启windows身份验证。

IE开启windows身份验证

工具 - Internet选项 – 安全 – 自定义级别 – 自动使用当前用户名和密码登录
在这里插入图片描述
本地Intranet – 站点 – 高级 – 添加(CAS登录地址)
在这里插入图片描述

谷歌浏览器开启windows身份验证

IE开启后,谷歌浏览器也就开启了windows身份验证

chenming3030
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS 5.1集成SPNEGO
silenceyobbo的博客
06-14 2605
AD域服务器上生成keytab文件 在AD域中,创建1个域账号,密码设置为永不过期 使用上面创建的域账号,创建SPN(服务主体名称) 使用administrator账户登录AD域控服务器,在命令行运行以下命令: setspn -S HTTP/cas.test.com@apitest.domain.com loginName 参数说明: cas.test.com:CAS服务器域名 apite...
【kerberos】kerberos创建用户和keytab文件
Mrerlou的博客
08-15 2582
生成keytab 文件放到 新建用户 user01 的家目录下。下面演示下如何创建一个kerberos 和 keytab 文件。user01 为用户名。111111 为密码。
(复盘)基于CentOS 7安装kerberos并生成keytab文件_centos 安装kerberos(1)
最新发布
2401_84967954的博客
05-11 1097
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
【大数据安全-Kerberos】Kerberos-Windows本地认证
weixin_53543905的博客
03-31 1924
1、Windows 本地的 krb5.ini 文件不能直接使用 krb5.conf 文件更名替换,否则会出现文件格式的问题导致 MIT Kerberos 客户端无法正常启动。2、在生成 keytab 文件时需要加上参数,否则会导致 kinit 时密码错误。3、在 Windows 本地安装了 Java 环境后,由于 Java 里也有 kinit、klist 等命令,所以需要在 Path 环境变量里面,将 Kerberos 的环境变量位置调整到Java环境变量的前面。
linux可以用ad管理员权限,教程:为 Linux 上的 SQL Server 使用 AD 身份验证 - SQL Server | Microsoft Docs...
weixin_33121737的博客
05-14 430
教程:对 Linux 上的 SQL Server 使用 Active Directory 身份验证12/18/2019本文内容适用于:SQL Server(所有支持的版本) - Linux本教程介绍如何在 Linux 上配置 SQL Server 以支持 Active Directory (AD) 身份验证(也称为集成身份验证)。 有关概述,请参阅 Linux 上的 SQL Server 的 Ac...
如何为浏览器使能Kerberos Delegation
net_wolf的专栏
08-06 1135
1)IE 11需要设置Local Intranet,设置到信任网站, 然后在 Internet 选项窗口,单击高级选项卡并滚动到安全设置。确保选中了启用集成 Windows 认证(需要重新启动)框。 2)Chrome 67 需要修改注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome] 增加一个字符串值 AuthNegotiateDel...
cas-server-support-spnego-3.4.2.jar
04-14
cas3.4用到的jar
cas spnego认证方式(即加ad域的windows主机应用免登录)高可用集群方案(目前来看国内第一份资料,本人探索出来的)
10-21
加了ad域的windows电脑,用casspnego可以实现登录电脑后,应用免登录。但是单点存在风险,需要高可用集群,但是国内没有任何相关资料,本人经过重重艰难,自己探索,终于把集群给搞了出来。成果方案作为资料,供...
CAS采用Spnego认证方式通过Kerberos与AD域整合
07-23
CAS(Central Authentication Service)是一种常用的身份验证协议,通过 Spnego 认证方式可以与 Kerberos 进行集成,从而实现与 AD 域的整合。下面将详细介绍如何通过配置,使已经登录到域的域用户,在访问 CAS_...
cas4.2源码
09-11
- **认证模块**:处理用户的身份验证,可以支持多种认证策略,如数据库、LDAP、SPNEGO等。 - **代理认证**:允许一个服务代表用户获取另一个服务的Ticket,增强了CAS的灵活性。 - **Web界面**:包括登录页面、...
CAS单点登录服务端部署包
08-26
通过 JAAS, LDAP, RDBMS, X.509, Radius, SPNEGO, JWT, Remote, Trusted, BASIC, Apache Shiro, MongoDb, Pac4J 等组件进行身份验证 将身份验证委派至 WS-FED, Facebook, Twitter, SAML IdP, OpenID, OpenID Connect...
大数据技术-Kerberos学习笔记
xiaoyixiao_的博客
03-02 3871
大数据技术-Kerberos学习笔记
认证模式之Spnego模式
zhangxiping
01-19 1938
Spnego模式是一种由微软提出的使用GSS-API接口的认证模式。它扩展了Kerberos协议,在了解Spnego协议之前必须先了解Kerberos协议,Kerberos协议主要解决身份认证及通信密钥协商问题。它大致的工作流程例如以下: ①client依据自己username向密钥分发中心KDC的身份认证服务AS请求TGS票证。 ②AS生成一个TGS票证、查询相应用户的password,然后通过用户password将TGS票证加密,响应给client。 ③client通过用户password解密TGS票
linux sssd加入AD域 Key table file ‘/etc/krb5.keytab‘ not found
qq331565760的专栏
03-24 1055
linux sssd realm 加入AD域
spnego_通过使用SPNEGO集成Microsoft Windows身份验证
cuxiong8996的博客
07-09 1684
关于本系列 这个由三部分组成的系列文章“使用带有WebSphere Liberty的SAML 2.0进行跨域单点登录”介绍了在混合云环境中使用IBM®Cloud的端到端单点登录(SSO)解决方案。 它说明了如何使用WebSphere®Liberty使云上的Java™EE标准应用程序能够安全地调用私有网络中公开的服务。 在此解决方案中,您将了解如何配置IBM WebSphere Liberty...
CAS 5.1集成SPNEGOcas实现ad域免密)
MyMBS的博客
05-26 2218
Windows加入AD域后,想实现用登录计算机的AD域账号密码,登录各个web应用站点。即浏览器访问web站点时,不需要输入用户密码,自动使用登录windows系统时的AD账号登录。 官网地址: https://apereo.github.io/cas/5.1.x/installation/SPNEGO-Authentication.html AD域服务器上生成keytab文件 1.在AD域中,创建1个域账号,密码设置为永不过期 2.使用上面创建的域账号,创建SPN(服务主体名称) 3.使用admi
大数据全栈式运维开发
11-21
本次课程让学员全面系统地学习大数据平台运维,开发的操作。课程内容涉及到大数据生态系统的各项工具,内容全面,讲解细致,助您全面掌握大数据平台运维及开发工具的作用
CAS单点登录(一)——初识SSO
热门推荐
Anumbrella
06-29 7万+
前言:其实好早就想把CAS的这一套知识整合一下,在工作上也应用到了这块,只是最近才在工作上接触到CAS,所以刚好把这些知识总结一下。这块可能是一个比较大的模块知识点,所以会有多篇文章进行逐一展开,笔者会尽量抽空更新,当然如果文章中存在错误,期望大家指出。 一、初识CAS 首先我们来说一下CASCAS全称为Central Authentication Service即中央认证服务,是一个企...
ModuleNotFoundError: No module named 'spnego'
09-07
ModuleNotFoundError: No module named 'spnego' 是Python中的一个错误提示,表示在当前环境中找不到名为'spnego'的模块。解决这个问题的方法取决于你想要使用'spnego'模块的具体情况。 如果你已经安装了'spnego'...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值