spnego java_《HttpClient官方文档》4.8 SPNEGO/Kerberos验证

最新推荐文章于 2023-03-12 21:21:01 发布
最新推荐文章于 2023-03-12 21:21:01 发布
阅读量474 收藏
点赞数
文章标签: spnego java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31068553/article/details/114356321
版权
本文档介绍了在Java HttpClient中使用SPNEGO进行Kerberos验证的详细步骤,包括所需的支持环境、配置文件(login.conf、krb5.conf)设置,以及Windows特定的配置调整。建议使用Java 1.6以上版本,并提供了KerberosHttpClient.java示例代码作为起点。
摘要由CSDN通过智能技术生成

原文链接 译者:Edenpan

SPNEGO(简单并且受保护的GSSAPI协商机制)被设计为当两端都不知道他人可以提供,或使用什么时所提供的验证服务。它可以包装其他的机制,但是目前HttpClient4.2是按照Kerbros单独设计的。

4.8.1SPNEGO在HttpClient中的支持

SPNEGO验证方案被Sun Java 1.5以上版本兼容。1.6以上的Java版本被强烈推荐,因为它已经完全支持了SPNEGO验证。

Sun JRE 提供了相关支持类来处理几乎所有的Kerb er和SPNEGO的令牌。这意味着很多步骤是关于GSS类的。SPNegoScheme 是一个简单的处理解析令牌并且对头进行读和写的类。

最好的开始的方式是抓示例中KerberosHttpClient.java文件,并且尝试使它工作。这会由很多问题会产生,但是如果幸运的话它会没有多大问题的工作。它也提供了一些输出用来调试。

在Windows中它默认使用登录凭证;它可以被覆盖通过使用’knit’ 比如$JAVA_HOME\bin\knit testuser@AD.EXAMPLE.NET 对测试和调试非常有帮助。删除kinit创建的缓存文件退回到windows的Kerberos缓存。

4.8.2 GSS/JAVA Kerberos 步骤

这个文档假定你使用的是Windows系统,但是大部分的信息在Unix上也适用。

org.ietf.jgss 类有很多可配置的参数,主要是在 krb5.conf/krb5.ini文件中。更多的信息可以查看:http://web.mit.edu/kerberos/krb5-1.4/krb5-1.4.1/doc/krb5-admin/krb5.conf.html.

4.8.3 login.conf 文件

接下来是Windows XP针对IIS和JBoss Negotiation 模块的配置。

系统属性java.security.auth.login.config可以用来指定login.conf文件。

login.conf文件看起来应该像下面这样:

com.sun.security.jgss.login {

com.sun.security.auth.module.Krb5LoginModule required client=TRUE useTicketCache=true;

};

com.sun.security.jgss.initiate {

com.sun.security.auth.module.Krb5LoginModule required client=TRUE useTicketCache=true;

};

com.sun.security.jgss.accept {

com.sun.security.auth.module.Krb5LoginModule required client=TRUE useTicketCache=true;

};

4.8.5 krb5.conf / krb5.ini 文件

如果没有特别指定,将会使用系统默认值。通过设定系统属性java.security.krb5.conf来指定一个用户krb5.conf文件。krb5.conf文件看起来像是下面这样:

[libdefaults]

default_realm = AD.EXAMPLE.NET

udp_preference_limit = 1

[realms]

AD.EXAMPLE.NET = {

kdc = KDC.AD.EXAMPLE.NET

}

[domain_realms]

.ad.example.net=AD.EXAMPLE.NET

ad.example.net=AD.EXAMPLE.NET

4.8.5 Windows特殊配置

为了允许Windows使用当前用户的凭证,系统属性javax.security.auth.useSubjectCredsOnly必须被设置为false 并且应该添加并且正确设置Windows的注册表项allowtgtsessionkey来使会话凭证在Kerberos Ticket-Granting票中发送。

下面是在Windows Server 2003 和 Windows 2000 SP4中要求的注册表项设定:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Value Name: allowtgtsessionkey

Value Type: REG_DWORD

Value: 0x01

下面是在Windows XP SP2中要求的注册表项设定:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\

Value Name: allowtgtsessionkey

Value Type: REG_DWORD

Value: 0x01

d0c1501a6d8bb921cf36400dc89de69f.png

高三垃圾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spnego_通过使用SPNEGO集成Microsoft Windows身份验证
cuxiong8996的博客
07-09 1692
关于本系列 这个由三部分组成的系列文章“使用带有WebSphere Liberty的SAML 2.0进行跨域单点登录”介绍了在混合云环境中使用IBM®Cloud的端到端单点登录(SSO)解决方案。 它说明了如何使用WebSphere®Liberty使云上的Java™EE标准应用程序能够安全地调用私有网络中公开的服务。 在此解决方案中,您将了解如何配置IBM WebSphere Liberty...
Spnego
wy818的专栏
08-10 822
本文参考连接: https://www.jianshu.com/p/3553a901162d https://blog.csdn.net/wangyangzhizhou/article/details/51163782 http://spnego.sourceforge.net/index.html Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) 即 简单且受保护的GSSAPI协商机制,是客户端-服务器软件用于协商安全技术选择的G
认证模式之Spnego模式
zhangxiping
01-19 1954
Spnego模式是一种由微软提出的使用GSS-API接口的认证模式。它扩展了Kerberos协议,在了解Spnego协议之前必须先了解Kerberos协议,Kerberos协议主要解决身份认证及通信密钥协商问题。它大致的工作流程例如以下: ①client依据自己username向密钥分发中心KDC的身份认证服务AS请求TGS票证。 ②AS生成一个TGS票证、查询相应用户的password,然后通过用户password将TGS票证加密,响应给client。 ③client通过用户password解密TGS票
读《Wireshark网络分析就这么简单》读书笔记
weixin_30587927的博客
10-09 496
晚上花了两个多小时看完这本书,记录下一些看书过程中的笔记。 一、问题:A和B 是否能正常通信? 两台服务器A和服务器B的网络配置 A B 192.168.26.129 192.168.26.3 255.255.255.0 ...
Kerberos权威指南》中文精读系列:第3章. 协议
咕噜咕噜大数据
08-11 1035
Kerberos权威指南第3章. 协议Needham-Schroeder协议Kerberos 5世界上最短的ASN.1教程身份验证服务器(AS)和票据授予服务器(TGS)新的加密选项票据选项预身份验证(Pre-Authentication)其他协议特性和扩展String-to-Key转换密码修改密钥版本号(The Key Version Number)一些与Kerberos有关联的协议的简称通用安全服务API(Generic Security Services API,简称GSSAPI)简单且受保护的GSS
kerberos-2.datagrip(jdbc)连接hive kerberos
github_39319229的博客
01-16 3504
拿到认证所需要的服务器keytab文件 例如需要访问hive,则首先需要hive权限的秘钥文件,默认地址为/etc/security/keytabs/ 最好使用服务端hive的jdbc驱动进行连接,防止版本兼容问题。 编写安全服务文件 创建一个文件用来登录验证 com.sun.security.jgss.initiate{ com.sun.security.auth.module.Krb5LoginModule required useKeyTab=true use.
Tomcat SPNEGO/Active Directory Authnz:Tomcat SPNEGO / Kerberos身份验证器和Active Directory领域-开源
05-09
"Tomcat SPNEGO/Active Directory Authnz: Tomcat SPNEGO / Kerberos身份验证器和Active Directory领域-开源" 这个标题提到的是一个针对Apache Tomcat服务器的开源解决方案,它实现了SPNEGO(Simple and Protected ...
Apache Kerberos/SPNEGO module-开源
04-24
适用于Apache 1.3.26的GSS-API / SPNEGO身份验证模块; SPNEGO API(请参阅fbopenssl);适用于Apache 1.3和2.0的SPNEGO身份验证模块(请参见mod_spnego
mod_spnego:在 Windows 上运行的 Apache HTTP Server 的 Kerberos 身份验证-开源
07-11
mod_spnego 允许使用 Kerberos 对在 Windows 上的 Apache HTTP 服务器 (httpd) 上运行的网站的用户进行身份验证。 然后,经过身份验证的用户在服务器变量 AUTH_USER 中可用。 sourceforge 上仅托管下载,来源位于 ...
spnego-demo:示例Web应用程序,该应用程序在WildFly和_或JBoss EAP中使用Kerberos身份验证
05-02
该演示应用程序演示了如何使Kerberos身份验证在WildFly和JBoss企业应用程序平台(EAP)中工作。 开箱即用的SPNEGO身份验证在WildFly版本8和9中不起作用,因为缺少与Undertow(新的Web服务器组件)集成的部分。 问题...
Kerberos在HTTP中的应用
03-31
Kerberos是在Internet上长期被采用的一种安全鉴别机制。本文在分析各种传统HTTP鉴别协议的缺陷的基础上,探讨了Kerberos在HTTP通信中鉴别的优势,并提出了一种具体实现的设计模型
cas-server-support-spnego-3.4.2.jar
04-14
cas3.4用到的jar
【Spark】spark使用jdbc连接带有kerberos认证的hive jdbc
最新发布
善皮之的博客
03-12 1744
使用spark jdbc API 访问带有kerberos的hive jdbc获取数据
java拦截器sha_使用Spring拦截器实现SPNEGO服务端
weixin_35920379的博客
02-24 467
在理清SASL/GSSAPI/Kerberos文中,我们了解到,在java中可以通过Krb5LoginModule模块实现Kerberos登录,以及通过GSSAPI完成校验的基本流程;同时也明白java还定义了一个高层次接口SASL,抽象校验流程。校验流程并没有定义客户端和服务端之间传递“票据”的通信方式,用户可以自己开发合适的通信方案,而SPNEGO协议就是基于http传递票据和校验的标准方案,...
mysql kerberos_sqoop集成Kerberos
weixin_39616798的博客
02-07 258
创建密钥文件 /var/opt/app/keytab/zkcli.keyTab创建配置文件:/var/opt/app/keytab/gss-jaas.confcom.sun.security.jgss.initiate {com.sun.security.auth.module.Krb5LoginModule requireduseKeyTab=trueuseTicketCache=falsepr...
HttpClient请求开启Kerberos的服务
Tu_maimes
03-29 1089
示例 方案一 import org.apache.http.HttpResponse; import org.apache.http.auth.AuthSchemeProvider; import org.apache.http.auth.AuthScope; import org.apache.http.auth.Credentials; import org.apache.http.client.HttpClient; import org.apache.http.client.config.AuthS
CAS 5.1集成SPNEGO
silenceyobbo的博客
06-14 2610
AD域服务器上生成keytab文件 在AD域中,创建1个域账号,密码设置为永不过期 使用上面创建的域账号,创建SPN(服务主体名称) 使用administrator账户登录AD域控服务器,在命令行运行以下命令: setspn -S HTTP/cas.test.com@apitest.domain.com loginName 参数说明: cas.test.com:CAS服务器域名 apite...
kerberos-spnego
weixin_30347009的博客
06-02 189
https://blogs.sap.com/2019/02/12/upgrading-kerberos-spnego-implementation/ 转载于:https://www.cnblogs.com/WCFGROUP/p/10965011.html
WebSphere Application Server中SPNEGO配置指南:优化 Kerberos服务名
- **身份验证策略**:如何在WebSphere中启用SPNEGO Web Authentication功能,确保安全地使用 Kerberos凭证进行身份验证。 - **测试与调试**:如何验证配置是否正确,以及在遇到问题时如何诊断和解决问题。 4. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值