Настройка прозрачной аутентификации kerberos

25.06.2010, 11:46. **Показов** 4132. **Ответов** 1

Студворк — интернет-сервис помощи студентам

Здравствуйте Уважаемые посетители форума.

У меня возник вопрос, который не могу решить уже в течение достаточно долгого времени - требуется реализовать прозрачную аутентификацию(информация из учетной записи AD) с использованием kerberos c jboss.

Существует сервер, который крутится на jboss (в тестовом варианте представляет из себя одну простую страничкку jsp), также настроена AD.

Тестовое окружение:
2 машины с OS win 2003
браузер ie7
сервер и клиент находится на разных машинах в рамках одного домена

Произведены настройки согласно:
http://spnego.sourceforge.net/spnego_jboss.html
http://msdn.microsoft.com/en-u... 95329.aspx

Настроены SPN:
C:\>setspn -L <имя машины в AD>
Registered ServicePrincipalNames for CN=<имя машины в AD>,CN=Computers,DC=<имя хоста>:
host/<имя машины в AD>.<имя хоста>
host/<имя машины в AD>
HTTP/<имя машины в AD>.<имя хоста>
HTTP/<имя машины в AD>

Сделано сейчас:
В настоящий момент получилось настроить аутентификацию таким образом, что при открытии странички (http://<имя хоста>:<port>/<context>) появляется окошко ввода логин-пароль; вход на страничку разрешается, если логин и пароль совпадают с одной из учетных записей в AD.

При этом в логе jboss отображается:
17:25:45,640 ERROR [STDERR] 24.06.2010 17:25:45 net.sourceforge.spnego.SpnegoPro
vider negotiate
WARNING: Downgrade NTLM request to Basic Auth.

Необходимо:
Мне необходима прозрачная аутентификация, при которой не придется вводить логин и пароль каждый раз, данные должны извлекаться из AD.

Я предположил, что все дело в том, что тип запроса basic, поэтому я попытался отключить basic аутентификацию:

XML
1
2
3
4
5
6
7
8
    <init-param>
        <param-name>spnego.allow.basic</param-name>
        <param-value>false</param-value>
    </init-param>
    <init-param>
        <param-name>spnego.prompt.ntlm</param-name>
        <param-value>false</param-value>
    </init-param>

Но в логе jboss появились ошибки:

18:08:09,031 ERROR [STDERR] 24.06.2010 18:08:09 net.sourceforge.spnego.SpnegoPro
vider negotiate
WARNING: Downgrade NTLM request to Basic Auth.
18:08:09,031 ERROR [[jsp]] Servlet.service() for servlet jsp threw exception
java.lang.UnsupportedOperationException: NTLM specified. Downgraded to Basic Aut
h (and/or SSL) but downgrade not supported.
at net.sourceforge.spnego.SpnegoProvider.ne gotiate(SpnegoProvider.java:1
46)
at net.sourceforge.spnego.SpnegoAuthenticat or.authenticate(SpnegoAuthent
icator.java:198)

По всей веротности jboss пытается авторизовать при помощи basic аутентификации (которую я отключил).
(но как я понял, мне необходима negotiation аутентификация)

поэтому прошу помощи, каким образом мне действовать дальше, чтобы настроить прозрачную аутентификацию с IE 7, или банально "куда копать дальше".

Добавлено через 17 часов 5 минут
удалось подключить negotiation аутентификацию, но теперь выдает ошибку

exception

javax.servlet.ServletException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
net.sourceforge.spnego.SpnegoHttpFilter. doFilter(SpnegoHttpFilter.java:233)
org.jboss.web.tomcat.filters.ReplyHeader Filter.doFilter(ReplyHeaderFilter.java:9 6)

root cause

GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
sun.security.jgss.krb5.Krb5Context.accep tSecContext(Krb5Context.java:741)
sun.security.jgss.GSSContextImpl.acceptS ecContext(GSSContextImpl.java:323)
sun.security.jgss.GSSContextImpl.acceptS ecContext(GSSContextImpl.java:267)
sun.security.jgss.spnego.SpNegoContext.G SS_acceptSecContext(SpNegoContext.java:8 74)
sun.security.jgss.spnego.SpNegoContext.a cceptSecContext(SpNegoContext.java:541)
sun.security.jgss.GSSContextImpl.acceptS ecContext(GSSContextImpl.java:323)
sun.security.jgss.GSSContextImpl.acceptS ecContext(GSSContextImpl.java:267)
net.sourceforge.spnego.SpnegoAuthenticat or.doSpnegoAuth(SpnegoAuthenticator.java :371)
net.sourceforge.spnego.SpnegoAuthenticat or.authenticate(SpnegoAuthenticator.java :210)
net.sourceforge.spnego.SpnegoHttpFilter. doFilter(SpnegoHttpFilter.java:229)
org.jboss.web.tomcat.filters.ReplyHeader Filter.doFilter(ReplyHeaderFilter.java:9 6)

кто знает, как можно исправить ошибку без проведения специальной операции генерации ключей при помощи ktpass, обращаясь только к AD?

27.06.2010, 23:28

Жаль, но вероятно никто из посетителей данного форума настолько глубоко не занимался данным вопросом.

Однако проблема все еще актуальна, может кто-то предложит какой-то свой вариант решения задачи всплывающего окошка в IE.
Сделано:
Всплывающее окошко в IE необходимо заполнять вручную данными из Active Directory
Необходимо:
Если пользователь залогинен в домене, необходимо открывать доступ к серверу jboss без запроса, в ином случае - запрещать доступ.

Буду благодарен любым вариантам решения данной задачи. Причем не обязательно приводить решение, просто подскажите возможные варианты решения задачи
Заранее спасибо!

Новые блоги и статьи Все статьи Все блоги /
сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и источниками (напряжения, ЭДС и тока). Найти токи и напряжения во всех элементах. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и. . .

Sergey_P
	27.06.2010, 23:28
	Жаль, но вероятно никто из посетителей данного форума настолько глубоко не занимался данным вопросом. Однако проблема все еще актуальна, может кто-то предложит какой-то свой вариант решения задачи всплывающего окошка в IE. Сделано: Всплывающее окошко в IE необходимо заполнять вручную данными из Active Directory Необходимо: Если пользователь залогинен в домене, необходимо открывать доступ к серверу jboss без запроса, в ином случае - запрещать доступ. Буду благодарен любым вариантам решения данной задачи. Причем не обязательно приводить решение, просто подскажите возможные варианты решения задачи Заранее спасибо!