基于域控的SSO单点登录

大家好，好久不见，今天老吕给大家来一篇偏冷门知识的文章。

一、需求

大型集团企业内部会有许多业务系统，工作人员也往往需要登录多个业务系统才能完成工作，这就可能会存在一些问题

1、多套账号与密码需要记录或者记忆

2、多次登录，不太好的工作体验与工作效率

二、解决方案

问题的本质是需要一个企业内部工作人员办公时使用的单点登录SSO方案

方案1：

常用方案，统一账号系统，建立用户中心，统一用户创建与登录渠道，通过cas、oauth2、oidc等协议实现用户身份的传递与验证；

方案2：

基于域控的方案，将操作系统域账号与业务系统账号体系打通，通过kerberos、ntlm等安全协议实现用户身份的识别与传递；

本文主要讲解的是如何通过方案2来实现SSO

三、域控SSO的实现原理

在这个图中按角色划分有4个参与方

参与方1-域控服务器：

建立存储域账号密码（包括客户机账号与服务账号），同时实现了KDC功能；

参与方2-客户机：

同时和域控服务和SSO服务通信完成身份信息的传递；

参与方3-SSO服务：

这个就是开发人员需要开发的服务，目标是通过解密加密令牌来获得客户机身份信息，进一步将身份信息加密后通过IODC协议传给业务系统；

参与方4-业务系统：

可能是多个，他们通过对接SSO服务来获得专用密钥，从而可以解密加密的身份信息，最终获得可信的明文身份ID，进一步通过生成自身的登录令牌转向自有控制，从而登录成功。

四、安全认证协议Kerberos

Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下， Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（对称密钥）执行认证服务的。

kerberos协议交互过程如下：

其中：

AS_REQ内容主要为 ：

1、用户名和客户端主机名信息 2、一个被client password hash加密的时间戳 3、明文的时间戳

AS_REP内容主要为：

1、SessionKey（被Client password hash 加密）

2、TGT=SessionKey+Client Info+ EndTime（TGT整体被KDC password hash加密）

TGS_REQ内容主要为：

1、TGT=SessionKey+Client Info+ EndTime（TGT整体被KDC password hash加密）

2、Client Info+Timestamp+ApplicationServerInfo（整体被SessionKey加密）

TGS_REP内容主要为：

1、Server Session Key（被SessionKey加密，用于和application  server通信时加密数据）

2、ServiceTicket=ServerSessionKey+ClientInfo+EndTime（整体被Service password hash 加密）

AP_REQ内容主要为：

1、ServiceTicket

2、ClientInfo+Timestamp （整体被TGS颁发的Server Session Key加密）

AP_REP验票过程为：

1、applicat server会使用Service password hash对ServiceTicket进行解密从而得到ServerSessionKey，ClientInfo，EndTime

2、用ServerSessionKey解密另一段密文，从而得到 ClientInfo和Timestam信息

3、从而可以确认 ClientInfo的正确性，并得到身份ID信息

套路总结：

1、不停地签发临时密钥，使用临时密钥进行对称加密；

2、基于约定对称密钥再进行进一步对临时密钥和内容加密；

3、通过时间戳判断票据是否过期

五、基于Java实现kerberos单点登录

弄清楚了原理之后就可以开干了，SSO Service部分就是需要用Java代码实现的部分，这部分要实现的目标是：

1、通过HTTP标头 Authorization 来获取加密的票据信息

2、如果Authorization为空，则返回401状态码并且响应：WWW-Authenticate: Negotiate 标头，告诉客户端浏览器服务端能处理的认证机制

3、客户端会选择（OS提供GSS-API，浏览器会调用，从而得到客户端支持的认证机制）自身支持的、合适的认证机制（这个过程也叫认证协商过程）

4、window客户端的认证机制是：当前客户端加入了正确的域，并且当前访问使用了正确的域名访问SSO Service，这时会优先使用kerberos认证机制，其它情况优先使用NTLM认证机制

5、当服务端发现Authorization不是我们想要的协议票据时，接着返回401即可，直到得到我们想要的票据

6、假设最终服务端收到了kerberos票据，就需要对票据进行解密验证客户端身份了，如果验证通过就会得到明文的客户端登录账号信息

7、具体如何解密要参考Java 的JAAS api 对kerberos的支持

六、Java开源方案参考资源

1、Tomcat认证模块

(https://tomcat.apache.org/tomcat-9.0-doc/windows-auth-howto.html)

特点：依赖jaas，需要keytab文件，配置文件

2、Waffle

（http://waffle.codeplex.com/）

特点：不需要keytab文件，依赖native api

3、Spring Security - Kerberos Extension

http://static.springsource.org/spring-security/site/extensions/krb/index.html

4、Jespa

（http://www.ioplex.com/）

特点：收费，支持SPNEGO/Kerberos协议和ntlm v1

5、SPNEGO AD project at SourceForge 开源项目

（https://spnego.sourceforge.net/index.html）

特点：只支持SPNEGO/Kerberos协议

6、使用IIS做反向代理

2023第一篇，今天就到这里，谢谢大家支持！