Windows下配置浏览器使用Kerberos (SPNEGO)

最新推荐文章于 2024-05-03 22:01:44 发布
最新推荐文章于 2024-05-03 22:01:44 发布
阅读量1w 收藏 11
点赞数 2
分类专栏: hadoop kerberos 文章标签: kerberos spnego http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taisenki/article/details/80774317
版权

Windows下配置浏览器使用Kerberos (SPNEGO)

目录:

适用场景

本示例适用场景满足以下情况:
1. 访问开启kerberos的hadoop集群WebUI界面,如ResourceManager、NameNode、Hive等
2. 其他通过Kerberos (SPNEGO)实现HTTP验证的页面
3. windows环境
4. Firefox浏览器

Windows GSSAPI/KERBEROS环境配置

在windows端实现kerberos(SPNEGO)的验证,需要让浏览器能找到其对应的kerberos/gssapi类库(gssapi64.dll/gssapi32.dll等)和对应的配置文件,其中配置文件的默认如下:

操作系统缺省位置
Windowsc:\winnt\krb5.ini
Linux/etc/krb5.conf
其他基于 UNIX 的系统/etc/krb5/krb5.conf
z/OS/etc/krb5/krb5.conf

Note: 如果 krb5.ini 文件不在 c:\winnt 目录中,那么它可能位于 c:\windows 目录中。

可以通过环境变量进行自定义配置参数的设置,也可以通过修改浏览器的参数进行设置,如在火狐中可通过访问about:config 页面进行参数调整:

network.negotiate-auth.gsslib
network.negotiate-auth.using-native-gsslib
……

由于对应的项比较繁琐,可以通过安装MIT KERBEROS进行默认情况的安装简化配置:

安装MIT KERBEROS

windows使用的kerberos客户端叫KFW,当前最新版本为KFW 4.1(64)/KFW 4.1(32),也可以通过访问KFW 下载列表 获得版本列表进行选择下载。以下以64位环境举例,32位环境请对照替换关键目录,如Program Files 替换为Program Files(x86)

安装完成后会进行默认的PATH环境变量配置,将安装目录下的bin目录配置进去,安装完成后可以校验一下。默认情况会安装到C:\Program Files\MIT\Kerberos 路径,同时在C:\ProgramData\MIT\Kerberos5 路径下生成kerberos的配置文件krb5.ini

PS: 为保险起见,可以同步替换c:\winnt\或c:\windows\下的krb5.ini

配置kerberos环境

将集群上kdc相关的配置文件krb5.conf中的内容同步到krb5.ini中,然后启动MIT Kerberos
MIT Kerberos
将用户名principal和密码输入,验证通过后获取Ticket:
Get Ticket
KFW界面

配置JCE

由于kerberos校验和加解密用到密钥长度远超出jre默认的安全字符长度,所以需要到java官网上下载Java Cryptography Extension (JCE),然后解压到%JAVA_HOME%/jre/lib/security中替换相应的文件。

配置Firefox

windows下Firefox需要通过访问about:config 页面调整以下参数:
1. network.negotiate-auth.trusted-uris 允许使用gssapi链接验证的地址
2. network.auth.use-sspi 关闭sspi验证协议
3. network.negotiate-auth.delegation-uris 代理委托地址,不建议使用

其中参数1或3在各类官方文档均有记载,参数3是代理时才使用,同时由于安全性可靠性考虑不推荐,而参数2则是windows各种方便使用的默认配置的坑:windows下的Firefox自带sspi这个安全认证协议,而且优先度很高,linux及其他环境下则多没有,因此Firefox在配置network.negotiate-auth.trusted-uris 仍然会优先使用sspi协议进行安全验证,导致出现出现如下报错信息(JCE未升级也会报下面的错):

HTTP ERROR: 403

Problem accessing /index.html. Reason:

    GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)

Powered by Jetty://
后谈

登录成功后可以通过浏览器打开对应的页面,同时在MIT Kerberos中也可以看到出现了除krbtgt以外的归属于HTTP的一条新ticket:
这里写图片描述

另外Firefox报错很不明显,可以通过如下方式打开调试模式打印报错内容:
Firefox 的调试日志:

set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=c:\firefox_in_domain_negotiateauth.log
...\firefox.exe -console

set NSPR_LOG_MODULES=all:5
set NSPR_LOG_FILE=c:\firefox_in_domain_debug.log

...\firefox.exe -console

小结

  1. windows的向后兼容和自定制优化功能很强大,但是有些时候会变成配置阻碍
  2. 了解不全的时候只通过单个专业信息搜查资料不一定能解决问题

参考链接:

  1. https://hg.mozilla.org/mozilla-central/file/fd2da289a3c1/extensions/auth
  2. https://hg.mozilla.org/mozilla-central/annotate/fd2da289a3c1/extensions/auth/nsAuthGSSAPI.cpp
  3. https://developer.mozilla.org/En/Integrated_Authentication
  4. https://developer.mozilla.org/en/Mozilla_Source_Code_Directory_Structure
  5. https://www.ibm.com/support/knowledgecenter/zh/SSAW57_8.5.5/com.ibm.websphere.nd.multiplatform.doc/ae/rsec_SPNEGO_config_krb5.html
taisenki
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kerberos:启用KDC和SPNEGO的Nginx
02-20
已启用KDC和SPNEGO的Nginx 先决条件 已在以下环境中进行了测试 kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Ubuntu 20.04 Intel kdc:Ubuntu 20.04 Intel + Docker稳定版,kerberos客户端:Macos 11.2 Apple Silicon kdc:Macos 11.2 Apple Silicon + Docker预览版3.1.0(60984),客户端:Macos 11.2 Apple Silicon 的Ubuntu sudo apt install krb5-user 苹果系统 brew install krb5 如何构建和运行(第一次) KDC和Nginx容器都使用alpine:latest基本映像。 如果您在M1 mac上构建它,它将使用高山arm64映像。 否则为
MIT Kerberos for Windows Installer
11-11
麻省理工的Kerberos安装包.Kerberos是一个重要的认证协议,它为互不相识的通信双方做安全的认证工作。Kerberos这个名字的原义是希腊神话中守卫冥王大门的长有三头的看门狗。
Windows认证机制和协议---Kerberos协议
最新发布
Naive的博客
05-03 907
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
读《Wireshark网络分析就这么简单》读书笔记
weixin_30587927的博客
10-09 487
晚上花了两个多小时看完这本书,记录下一些看书过程中的笔记。 一、问题:A和B 是否能正常通信? 两台服务器A和服务器B的网络配置 A B 192.168.26.129 192.168.26.3 255.255.255.0 ...
Windows认证机制之Kerberos协议
qq_53058639的博客
01-14 790
首先,我们简短介绍下Windows的认证机制。主要有以下三种,
GSS-API GSSAPI 介绍 通用的安全机制
whatday的专栏
02-21 8378
通用安全服务应用程序接口(GSSAPI) 是为了让程序能够访问安全服务的一个应用程序接口。 使用 GSS-API,程序员在编写应用程序时,可以应用通用的安全机制。开发者不必针对任何特定的平台、安全机制、保护类型或传输协议来定制安全实现。使用 GSS-API,程序员可忽略保护网络数据方面的细节。使用 GSS-API 编写的程序在网络安全方面具有更高的可移植性。这种可移植性是通用安全服务 API 的...
Windows安装Kerberos
司马班如
12-12 5124
Windows安装Kerberos一、Windows端安装Kerberos二、遇到的问题以及解决 在Windows安装Kerberos客户端的时候,按照网上的教程操作了一遍,但是结果却发现与原来的不一样,遇到问题了,花了不少的时间,到后来发现了解决方法,用这篇文章来解析记录一下 一、Windows端安装Kerberos 正常的做法是,下载客户端msi镜像文件安装,然后配置,我找了几个比较详细的网站,安装上面操作准没错 https://www.jianshu.com/p/c4313890ece2 https:
配置OpenLDAP使用Kerberos验证[参考].pdf
10-13
配置OpenLDAP使用Kerberos验证 Kerberos是一种基于共享密钥的安全机制,由MIT发明,现在已经被标准化,最新是版本5,简称krb5。Kerberos特别适合局域网络,Windows2k及以上系统的安全机制即基于Kerberos。 在配置...
windows配置kerberos认证
01-09
最近在研究hive数据库,但是Windows环境下hive数据库登录需要kerberos的认证,被kerberos的认真折磨了好几天,差不多把百度翻了个底朝天没找到实际价值,后来终于解决了。总结了一份文档
Windows安装kerberos
07-20
Windows安装kerberos,通过kerberos验证连接远程服务器,比如Hadoop等。
Kerberos安装教程及使用详解
09-15
Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据...这篇文章主要介绍了Kerberos安装教程及使用详解的相关资料,需要的朋友可以参考下
windows身份认证机制(kerberos
ryanzzzzz的博客
08-23 735
(1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。
windows认证原理kerberos协议详解
qq_59950255的博客
04-14 1674
kerberos协议详解
【大数据安全-KerberosKerberos-Windows本地认证
weixin_53543905的博客
03-31 1849
1、Windows 本地的 krb5.ini 文件不能直接使用 krb5.conf 文件更名替换,否则会出现文件格式的问题导致 MIT Kerberos 客户端无法正常启动。2、在生成 keytab 文件时需要加上参数,否则会导致 kinit 时密码错误。3、在 Windows 本地安装了 Java 环境后,由于 Java 里也有 kinit、klist 等命令,所以需要在 Path 环境变量里面,将 Kerberos 的环境变量位置调整到Java环境变量的前面。
【dbeaver】win环境的kerberos认证和Clouders/cdh集群中Kerberos认证使用Dbeaver连接Hive、Impala和Phoenix
lisacumt的专栏
09-25 1854
win环境的kerberos认证和Clouders集群中Kerberos认证使用Dbeaver连接Hive和Phoenix
Windows Kerberos客户端配置并访问CDH
shy_snow的专栏
01-29 2056
1.Windows安装 Kerberos 客户端; 2.配置 krb5.ini 3.执行 kinit 发起认证 4.浏览器可信配置,在浏览器输入about:config打开配置: 输入 `network.auth.use-sspi`,并点击切换到 `false`; 输入 `network.negotiate-auth.trusted-uris`,输入可信 URL 地址; 输入 `network.negotiate-auth.delegation-uris`;
windows 配置 Kerberos客户端访问CDH组件
mizuhokaga的博客
08-19 841
Kerberos Windows客户端配置访问
GSSAPI(Generic Security Services Application Programming Interface)说明
多头注意力探索Now
06-20 553
通信安全认证技术
windows下部署kerberos的详细教程
05-30
Windows 系统下部署 Kerberos 服务,通常可分为以下几个步骤: 1. 安装 Active Directory 域服务。Kerberos 服务是基于 Active Directory 的,因此需要安装和配置 Active Directory 域服务。 2. 创建 Kerberos Realm。使用 Active Directory 管理工具创建 Kerberos Realm,该 Realm 的名称通常与 Active Directory 域名称相同。 3. 创建 Kerberos Principal。在 Kerberos Realm 中创建 Kerberos Principal,该 Principal 通常对应着一个用户或服务。 4. 生成 Keytab 文件。Keytab 文件包含了 Kerberos Principal 的加密密钥,可以用于 Kerberos 身份验证。使用 ktpass 命令生成 Keytab 文件。 5. 配置 Kerberos 应用程序。在应用程序中配置 Kerberos 身份验证,包括指定 Kerberos 库的位置和 Keytab 文件的位置。 下面是一个简单的教程,介绍如何在 Windows Server 中部署 Kerberos 服务: 1. 安装 Active Directory 域服务。在 Windows Server 上,打开 Server Manager,选择 Add Roles and Features,然后选择 Active Directory Domain Services 进行安装。 2. 创建 Kerberos Realm。使用 Active Directory Users and Computers 管理工具,创建一个新的 Active Directory 域,该域的名称就是 Kerberos Realm 的名称。 3. 创建 Kerberos Principal。在 Active Directory Users and Computers 中创建一个新的用户或服务账户,该账户就是 Kerberos Principal。 4. 生成 Keytab 文件。打开命令行工具,使用 ktpass 命令生成 Keytab 文件。例如,以下命令将创建一个 Keytab 文件,用于 Kerberos Principal "user1@EXAMPLE.COM": ``` ktpass /out user1.keytab /princ user1@EXAMPLE.COM /mapuser user1 /pass password /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 ``` 5. 配置 Kerberos 应用程序。在应用程序中设置 Kerberos 身份验证,包括指定 Kerberos 库的位置和 Keytab 文件的位置。例如,在 Java 应用程序中,可以通过设置系统属性来指定 Kerberos 库和 Keytab 文件的位置: ``` System.setProperty("java.security.auth.login.config", "krb5.conf"); System.setProperty("java.security.krb5.realm", "EXAMPLE.COM"); System.setProperty("java.security.krb5.kdc", "kdc.example.com"); System.setProperty("javax.security.auth.useSubjectCredsOnly", "false"); System.setProperty("sun.security.krb5.debug", "true"); System.setProperty("sun.security.spnego.debug", "true"); System.setProperty("sun.security.jgss.debug", "true"); System.setProperty("sun.security.spnego.initiate", "true"); System.setProperty("sun.security.spnego.targetName", "HTTP/server.example.com@EXAMPLE.COM"); System.setProperty("javax.net.ssl.trustStore", "truststore.jks"); System.setProperty("javax.net.ssl.trustStorePassword", "password"); System.setProperty("javax.net.ssl.keyStore", "keystore.jks"); System.setProperty("javax.net.ssl.keyStorePassword", "password"); ``` 以上是一个简单的 Kerberos 部署教程,实际情况可能更为复杂。如果您需要更详细的教程,建议参考 Microsoft 的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值