无法使用SPNEGO Java GSS机制编译安全身份验证
SPNEGO(Simple and Protected GSSAPI Negotiation Mechanism)是一种用于安全身份验证的Java GSS(Generic Security Services)机制。它基于GSS-API(Generic Security Services Application Programming Interface)标准,提供了一种简单且安全的方式来进行身份验证和安全通信。
SPNEGO机制的编译安全身份验证过程如下:
- 客户端向服务器发送请求,请求使用SPNEGO机制进行安全身份验证。
- 服务器接收到请求后,生成一个SPNEGO令牌,并将其返回给客户端。
- 客户端收到令牌后,使用GSS-API库进行解析和处理。它会检查令牌中的机制列表,选择适合的机制进行身份验证。
- 客户端选择机制后,生成一个包含身份验证信息的令牌,并将其发送给服务器。
- 服务器接收到令牌后,使用GSS-API库进行解析和处理。它会验证客户端提供的身份验证信息,并返回相应的响应给客户端。
- 客户端接收到响应后,使用GSS-API库进行解析和处理。它会验证服务器返回的响应,并确定身份验证是否成功。
SPNEGO机制的优势包括:
- 安全性:SPNEGO机制使用GSS-API库提供的安全性功能,确保身份验证和通信过程的安全性。
- 简单性:SPNEGO机制提供了一种简单的方式来进行安全身份验证,无需开发人员手动实现复杂的身份验证逻辑。
- 兼容性:SPNEGO机制基于GSS-API标准,可以与其他支持GSS-API的系统和应用程序进行集成和交互。
SPNEGO机制的应用场景包括:
- Web应用程序:SPNEGO机制可以用于Web应用程序中的单点登录(SSO)功能,实现用户在不同系统之间的无缝访问。
- 客户端-服务器通信:SPNEGO机制可以用于客户端和服务器之间的安全通信,确保通信过程的机密性和完整性。
- 分布式系统:SPNEGO机制可以用于分布式系统中的身份验证和授权,确保系统的安全性和可信度。
腾讯云提供了一系列与安全身份验证相关的产品和服务,例如:
- 腾讯云身份认证服务(CAM):提供了一套完整的身份认证和访问管理解决方案,帮助用户实现安全的身份验证和访问控制。详情请参考:腾讯云身份认证服务(CAM)
- 腾讯云密钥管理系统(KMS):提供了一种安全且可靠的密钥管理服务,用于保护用户数据的机密性和完整性。详情请参考:腾讯云密钥管理系统(KMS)
- 腾讯云安全加密服务(SES):提供了一种高效且安全的数据加密解决方案,用于保护用户数据的机密性和安全性。详情请参考:腾讯云安全加密服务(SES)
以上是关于SPNEGO Java GSS机制编译安全身份验证的完善且全面的答案。
相关·内容
1回答
我目前正在尝试在第三方LDAP库( Common Lisp库trivial-ldap)中实现GSSAPI支持。我让它在认证到AD服务器时工作(使用GSS-SPNEGO机制),但是当我试图与OpenLDAP服务器对话时,我从服务器得到一个错误回复,说该机制不受支持。
事实证明,OpenLDSP不支持GSS-SPNEGO,而是想要GSSAPI。用于进行GSSAPI身份验证的协议似乎与GSS-SPNEGO非常不同,但我的问题是,我不知道是哪种方式。
有没有人可以帮助解释一下,当使用GSSAPI机制时,GSS包应该如何包装在SASL消息中?
我尝试简单地以与GSS-SPNEGO相同的形式发送数据包,但
浏览 20提问于2013-09-18得票数 0
1回答
我目前正在尝试使用SourceForge的实现一个受SPNEGO保护的web服务的Java客户端(服务器也在使用相同的库)。我无法让它成功地进行身份验证,我的请求总是以
HTTP/1.1 500 Failure unspecified at GSS-API level (Mechanism level: Checksum failed)
这类似于我从使用不适当主机名的浏览器访问web服务时出现的症状,实际上,Wireshark中的一些调试显示,客户端发送了一个错误的SPN和请求-I send to service-test.client.com,它注册为SPN,在DNS中有一个A记录,但在Wi
浏览 6提问于2012-09-02得票数 3
回答已采纳
我想使用ldapsearch从Linux实例(Amazon Linux OS)对远程Windows服务器进行身份验证测试。Kerberos bind是通过安装在cyrus-sasl-gssapi包中的GSS-API工作的,是否有可用于GSS-SPNEGO的等效包?我希望在Kerberos不工作的情况下能够回退到NTLM身份验证。 服务器同时支持GSSAPI和GSS-SPNEGO,但从客户端来看,GSS-SPNEGO似乎不可用。ldapsearch的输出如下所示: ldapsearch -H "ldap://$HOST_NAME" -b "" -s base -
浏览 103提问于2021-04-07得票数 1
3回答
是否可以使用GSSAPI进行NTLM v1/v2身份验证?我正在尝试构建一个web服务器,很像squid / apache,但我想使用NTLM / Negotiate协议对可能使用IE / FireFox的客户端进行身份验证。我试着使用海姆达尔库,但就是不能让gss_accept_sec_context工作。它只是简单地失败,并显示“请求了不支持的机制”。我可以确认,在尝试gss_accept_sec_context之前调用gss_acquire_cred时,服务主体名称、spnego的did等确实正确发生。是的,当然,我通过对authorization headers进行base64解码来提
浏览 15提问于2011-06-20得票数 3
我将Tomcat设置为使用SPNEGO身份验证,这样用户就可以单点登录到我们的web应用程序,而无需输入密码,一切工作正常。昨天,我更改了服务帐户的密码,并重新创建了密钥表文件,但在Tomcat重启后,SSO无法正常工作。在我发现的日志中:
exception [GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)] with root cause
java.security.GeneralSecurityException: Checksum failed
浏览 11提问于2013-11-28得票数 3
1回答
我正在尝试使用tomcat设置kerberos/spnego身份验证。我在tomcat目录下添加了一个krb5.conf文件,在SpnegoFilterConfig中读取了该值并设置了java.security.krb5.conf,但是似乎没有考虑到这一点。无论文件是否在那里,我都会得到相同的结果。
javax.servlet.ServletException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-9
浏览 0提问于2015-12-15得票数 0
2回答
我正在尝试使用curl进行一些操作,但我必须工作的网站使用Kerberos身份验证。因此,我必须启用curl的SPNEGO功能,该功能在默认情况下是禁用的。
这是我的phpinfo的摘录:
cURL support enabled
cURL Information 7.19.7
Age 3
Features
AsynchDNS No
Debug No
GSS-Negotiate Yes
IDN Yes
IPv6 Yes
Largefile Yes
NTLM Yes
SPNEGO No
SSL Yes
SSPI No
krb4 No
libz
浏览 3提问于2013-12-18得票数 1
我在通过SPNEGO从Web浏览器(Internet 11)到自定义Java应用服务器提供的Web服务进行身份验证时遇到了问题。
我可以使用自定义Java客户端应用程序使用SPNEGO成功地对同一个Application进行身份验证。
自定义Java客户端和应用程序服务器的实现细节可以在下面找到。
我怀疑来自Web浏览器的SPNEGO无法工作,因为:
a)来自Internet的令牌是有效的SPNEGO令牌吗?
Web浏览器提供的GSSAPI令牌与我的Java客户机提供的令牌不同,可能不是有效的SPNEGO / Kerberos令牌。Java客户端提供了以“协商YIMMQA.”开头的授权头。(O
浏览 0提问于2018-07-18得票数 4
回答已采纳
windows-xp将authorization头中的SPNEGO令牌发送到我们的服务器,该服务器理解kerberos协议。使用java提供的gss-api来实现服务器应用。
我们的代码从spnego令牌中提取upn名称,并使用LDAP存储验证它。如果upn名称仅包含ascii字符(小于127),则一切正常。
但是如果用户名包含非ascii字符(例如爱尔兰fada),那么java gss-api会出于某种原因将它们解释为垃圾字符。
我想知道Java7 GSS名称是否可以包含非ascii字符?
浏览 1提问于2014-02-20得票数 1
1回答
我刚刚了解到,正在探索的某个应用程序不支持SPNEGO身份验证。这是否意味着微软的NTLM也不受支持?
以下是的一段短文,让我相信上面的话是真的:
“.SPNEGO最明显的用途是在微软的"HTTP协商”身份验证扩展中。它最初是在Internet Explorer 5.01和IIS 5.0中实现的,并提供了单点登录功能,后来被推广为集成Windows身份验证。可协商的子机制包括NTLM和Kerberos,它们都用于Active Directory.“
供参考,
浏览 3提问于2016-03-29得票数 0
1回答
我在已经运行FreeIPA进行用户身份验证的CentOS7服务器上安装了openLDAP。
openLDAP的目的是让Nodejs应用程序管理应用程序的用户。并将在单独的服务器上运行。
我可以看到slapd正在运行(ps -ef | grep slapd):
ldap 1287 1 0 06:40 ? 00:00:00 /usr/sbin/slapd -u ldap -h ldapi:/// ldap:///
因此,我尝试使用ldapadd命令更改默认值,我怀疑是在连接到机器上配置的FreeIPA LDAP (在使用-x -h的某些coammands上,它要求
浏览 10提问于2016-09-28得票数 0
我已经在Tomcat7Webapp上设置了Spnego身份验证。它适用于Ubuntu 14.04和Windows10用户。但是,所有使用Chrome/Firefox/IE的用户都会收到以下错误:
GSSException: Failure unspecified at GSS-API level (Mechanism level: Request is a replay (34))我无法确定这一问题的根本原因。我如何调试这个问题,因为它是特定于Windows 7用户的?
浏览 2提问于2016-02-04得票数 2
我试图通过python使用请求访问公司内部网上的SAS服务,但由于身份验证失败(401),我无法让它工作。
我使用python 3.7.4,在Windows 10上请求2.22.0。
requests.get(follow_redirects=True)
使用HTTPBasicAuth('user', 'pass'),HTTPDigestAuth(),HttpNtlmAuth('user', 'pass')
与所有可能的参数组合一起使用requests_kerberos.HTTPKerberosAuth(),包括设置f
浏览 2提问于2019-08-30得票数 1
回答已采纳
当尝试在Alpere3.12中构建以下小型测试程序时,链接器拒绝在提供的库中查找符号。同样在Centos 8中也能正常工作。 #include <string.h>
#include <gssapi/gssapi.h>
int main(int argc, char *argv[])
{
OM_uint32 major_status, minor_status;
gss_OID_set gss_mech_set;
int i;
static gss_OID_desc _gss_mech_spnego = {6, (void *)&#
浏览 40提问于2020-12-16得票数 0
3回答
据我理解,
SPN是windows服务的身份验证工具。
Kerberos是一种用户身份验证服务。
SPNEGO-GSSAPI是能够使用这些服务的第三方API。
SSPI :是从SPNEGO向SPN服务发送请求的中立层。
我完全迷路了吗?
试图找出它是如何工作的,但信息,要么太精确,要么不够。
浏览 2提问于2013-12-05得票数 6
回答已采纳
我有以下几点
基于CentOsKeycloak 7.2.2的spring web应用程序-机器 3.3.4 on CentOs活动目录
我们在OpenJDK 8上运行
用户使用其活动目录帐户从Windows计算机登录。
Keycloak配置了一个kerberos使用的联合。在CentOs机器上,将使用
yum install krb5-user krb5-doc
yum install krb5-pkinit krb5-workstation
yum install krb5-libs krb5-devel
yum install krb5-server krb5-workstation pa
浏览 21提问于2020-02-24得票数 3
我对这个话题进行了大量的搜索,但找不到解决办法。
对各项要求的简短说明:
野蝇8.2下WebApp上的单点登录
将Windows用户身份验证到Active
回到登录表单,当SSO失败时
在野生蝇的域配置中运行
环境:
2012 R2 (1.机器)
Microsoft 2012 R2与Wildflix8.2(2.Machine)
2.机器yas加入了域
到目前为止,我尝试的是通过ktpass,kinit,.绑定AD和Wildfly服务器。它起作用了!
尝试了以下几个方面:实际上,Java sourceforge.net/p/spnego/discu
浏览 7提问于2015-10-06得票数 4
回答已采纳
下面的链接描述了使用Kerberos的套接字通信
public class NegotiateStream : System.Net.Security.AuthenticatedStream
...
// Request authentication.
NetworkStream clientStream = client.GetStream();
NegotiateStream authStream = new NegotiateStream(clientStream, false);
...
// Pass the NegotiateStream as the AsyncState o
浏览 0提问于2019-05-22得票数 0
我希望使用CFNetwork而不是NSURLConnection或NSURLSession来实现http请求,但是服务器需要客户端证书身份验证挑战。不幸的是,我还没有弄清楚如何实现客户端证书身份验证。我查看了CFNetwork编程指南,我看到了以下信息:
CFHTTPAuthentication支持以下身份验证方案:
基础知识
摘要
NT LAN Manager (NTLM)
简单且受保护的GSS协商机制(SPNEGO)
这是否意味着我们不能使用CFNetwork实现客户端证书身份验证?
提前谢谢..。
浏览 6提问于2015-05-04得票数 0
1回答
我有理由相信,思科GSS 4400系列的行为与思科ACE北草坪会议大楼,在传递名称引用的方式不同。我想知道它们之间的区别的细节,特别是GSS处理主机名的方式。
我正在尝试使用GSS设置Kerberos身份验证。
使用ACE负载均衡器,我成功地设置了Kerberos -我有各种服务使用ACE负载均衡器的FQDN,并基于该FQDN进行身份验证。客户端指向这个FQDN,它最终在ACE负载均衡器之后到达一个服务,并且仍然使用相同的FQDN对该服务进行身份验证。
但是,对于GSS,上述配置失败。我无法基于Kerberos进行身份验证。GSS似乎不只是将流量转发给服务器。
我的实际网络设置是: GSS -
浏览 0提问于2013-09-13得票数 0
回答已采纳
我有一个使用Kerberos进行SSO的高效Java应用程序。
在将Java从版本16更新到17之后,我会遇到以下错误:
无法找到合适类型的密钥来用HMAC解密AP-REQ - RC4。
Caused by: GSSException: Failure unspecified at GSS-API level (Mechanism level: Invalid argument (400) - Cannot find key of appropriate type to decrypt AP-REQ - RC4 with HMAC)
at java.security.jgss/sun.
浏览 18提问于2022-05-02得票数 0
2回答
我该怎么做(或者我能做什么?)是否在Java中检索当前登录的Windows用户的缓存凭据?我想在其他一些GSS-API调用中重用这些凭据。具体地说,我正在回答来自IIS的SPNEGO挑战。
谢谢。
浏览 3提问于2009-07-14得票数 8
1回答
如果找不到有效的用户,我想重定向到没有htaccess提示的登录页面。
我有个工作机会
AuthName "My name"
NTLMBasicRealm "DOM"
NTLMAuth on
NegotiateAuth off
NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
NegotiateAuthHelper "/usr/bin/ntlm_auth --helper-protocol=gss-spnego"
NTLMBasicAut
浏览 5提问于2020-06-05得票数 0
回答已采纳
1回答
我正在使用作为服务器并使用GSSAPI进行kerberos身份验证的应用程序。
应用程序工作
启动时,应用程序必须获取凭据。
当客户端发送协商时:令牌
使用gss_accept_sec_context接受上下文
调用显示名称以获得类似MyName@DOMAIN的用户名
当前,应用程序正在为每个会话执行身份验证。
使用缓存的SSO身份验证
但是,我希望修改应用程序,以便在第一次会话中执行一次身份验证,并缓存 using ,以便使用using重新对用户进行身份验证。在这里,我不能缓存用户名(MyName@DOMAIN),因为要再次获得用户名应用程序,请接受上下文并调用显示名称。
有任何方法可以使用
浏览 1提问于2015-02-24得票数 1
在尝试通过协商进行身份验证时检测到有缺陷的令牌,我还发现curl命令中生成的令牌以"TIR“开头,而java代码生成的令牌以"YII”开头。
Curl命令可以很好地工作curl -v -i --negotiate -u:"“
System.setProperty("sun.security.krb5.debug", "true");
System.setProperty("sun.security.jgss.debug", "true");
SpnegoClient spnegoClient = Spne
浏览 10提问于2019-06-17得票数 0
我尝试在应用程序中使用gssapi32.dll,但在应用程序启动时收到异常
类似于'HTTP/proxy.domain.com@domain.com‘的名称我在Kerberos票证工具中看到过此名称
但我收到“未找到凭据缓存”
也许有人已经有类似的问题了?并且可以提供帮助
C++ 7 (x64) MSVS Windows 2010学习版
谢谢你的建议&我的英语很抱歉
char* cHttp::getNegotiateToken(const char *service, const char *server) {
char *token = 0;
OM_uint3
浏览 14提问于2012-07-02得票数 1
回答已采纳
1回答
我已经将我的应用程序配置为通过SPNEGO和Websphere使用Kerberos身份验证。
以下是细节
krb5.conf
[libdefaults]
default_realm = ABC.MYCOMPANY.COM
default_keytab_name = FILE:C:\IBM\WebSphere\AppServer\kerberos\MyServer.keytab
default_tkt_enctypes = rc4-hmac des-cbc-md5
default_tgs_enctypes = rc4-hmac des-cbc-md5
fo
浏览 2提问于2017-02-28得票数 2
回答已采纳
我有一个非常普通的spnego设置,它是针对Active服务器进行身份验证的。IE包含协商头cookie,它在没有提示用户的情况下正确地进行身份验证。Firefox和Chrome不包含SSO cookie,因此无法返回到基本身份验证。他们确实正确地接收用户名和密码,并正确登录。
然而,我的小烦恼是它在Firefox中只提示了一次,而在Chrome中则是两次提示密码。
你知道为什么会有两次这样的结果吗?
为了完整起见,请在下面设置:
<filter>
<filter-name>SpnegoHttpFilter</filter-name>
&
浏览 0提问于2013-12-30得票数 2
1回答
有一个使用spnego-http-auth-nginx-module和krb5配置为SSO身份验证的Nginx服务器,其中有一个域。
如何配置双域身份验证?
如果可用的话,最好是使用不带Apache的Nginx解决方案。
配置源:
/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
浏览 0提问于2020-08-05得票数 1
回答已采纳
我一直在研究LDAP supportedSASLMechanisms,并试图断言在使用GSS-SPNEGO时是否存在保密保护。
我的初步评估是,需要额外的配置才能实现机密性,因为下面的C#代码(假设选择了GSS-SPNEGO )只显示SASL GSS-API Integrity在Wireshark中,而没有显示SASL GSS-API Privacy。
private static void Main()
{
using (var ds = new DirectorySearcher())
{
ds.Filter = string.Format("(&(obje
浏览 0提问于2016-05-16得票数 1
1回答
我们有一个独立的kerberos (不是AD,它是一个特定的系统),所以没有一个用户的工作站知道这一点,但是有些用户有他们的凭据(登录+密码,没有keytab)。
Problem:我们需要一个spring引导服务(服务)和前端应用程序,用户可以输入凭证,从服务中获取SPNEGO令牌并继续使用它,web浏览器必须不知道这种身份验证。
Pre-requisites:spring-boot,java 14,SERVICE有keytab (http/service@值域),用户有login+password
我们如何看待解决方案
前端通过SSL向服务器发送登录+密码;服务器有kinit (或其他什么吗
浏览 5提问于2021-08-17得票数 0
有谁知道在Windows上运行的Java 6客户机在访问实现SPNEGO身份验证协议的Microsoft服务器时是否能够通过NTLM进行身份验证?
我的理解是,运行在Windows上的Java 6已经内置了对SPNEGO的支持,但在kerberos身份验证不可能的情况下,Java实现似乎不尝试NTLM身份验证。Sun文档中提供的示例在401未经授权的错误的响应下失败,该服务器发送WWW身份验证:协商。
下面是对测试环境的描述:
目标服务器:
Windows 2008 R2独立服务器(不是AD域的一部分)
使用WCF实现的Microsoft SOAP服务
WCF配置为SPNEGO身份
浏览 1提问于2011-05-09得票数 6
回答已采纳
需要独立的Java程序,方便上传文件到Sharepoint使用KERBEROS身份验证。
我们有sharepoint服务器,它升级到2010版本,并配置了Kerberos身份验证。早期的sharepoint版本使用NTLM身份验证,我使用javaq客户端程序从本地系统上传文件。由于sharepoint升级了Kerberos身份验证,因此我需要修改当前NTLM版本的java程序以使用Kerberos。我得到了身份验证和连接的代码片段,它工作得很好。我可以通过java程序读取Sharepoint URL并下载特定的文件。现在我正在尝试将文件上传到Sharepoint,但没有获得用于此目的所需的ja
浏览 2提问于2013-09-12得票数 1
我需要连接到websocket服务,它使用来自独立java进程的spnego身份验证。
有人能给我提供一个java示例或指向具有此功能的库吗?
我可以使用SpnegoHttpURLConnection在同一台服务器上查询rest因此spnego部分可以工作。
如果禁用服务器上的身份验证,也可以连接到websocket。
但是,SpengoHttpURLConnection没有任何简单的方法将连接升级到websocket,而且我也找不到一个websocket客户端库,它允许我配置spnego身份验证。
浏览 2提问于2019-10-15得票数 2
回答已采纳
有没有一个apache模块可以实现供Tomcat使用的Kerberos身份验证,并支持Kerberos委托?
我已经研究过mod_spnego,它丢弃了它创建的SSPI上下文,只保留主体名称。相反,我正在寻找一个模块,它允许委派发送到Tomcat的票证-也就是接受发送给身份验证的服务票证,并使用它的服务器端代表用户访问另一个服务。
编辑:为了清楚起见,我需要在Win32下使用GSS/SSPI上下文进行模拟,这样当遗留代码连接到另一个服务器时,就会使用委派的凭证。
浏览 2提问于2008-12-03得票数 9
回答已采纳
我使用GSS使用Kerberos身份验证(gss_init_sec_context调用)使用SMB2.0服务器对自己进行身份验证。我知道我可以使用kinit -R命令来更新TGT。但是我也想续订我的服务票。
在协议规范中,它说客户端需要更新kerberos票。
可以续订服务票吗?还是我应该创造一个新的环境?
任何与使用GSS的SMB2.0重新身份验证有关的指针也非常受欢迎
浏览 2提问于2013-08-28得票数 1
回答已采纳
2回答
我的cURL配置(fro phpinfo()函数)是:
cURL support enabled
cURL Information 7.21.7
Age 3
Features
AsynchDNS Yes
Debug No
GSS-Negotiate Yes
IDN No
IPv6 Yes
Largefile Yes
NTLM Yes
SPNEGO No
SSL Yes
SSPI Yes
krb4 No
libz
浏览 2提问于2011-11-26得票数 1
回答已采纳
1回答
一般问题。服务器管理员设置SPNEGO。LTPA项目符号在管理控制台中的Global Security下标记。我的理解是,SPNEGO从初始登录(即网络)捕获用户名。之后,如果用户访问应用程序的URL,SPNEGO会通过用户的ldap组(管理控制台-安全角色)尝试查找与应用程序的角色名称相关联的组。如果找到匹配,用户授权,可以直接进入应用程序,而不必使用登录表单输入凭据。但在尝试实现这一点时遇到了问题。检查HttpServletRequest -应用程序前端的getUserPrincipal().getName()和getRemoteUser()出现在null上。如果SPNEGO实际上设置正确
浏览 2提问于2015-05-22得票数 0
我正在开发一个应用程序,它需要使用协商与代理进行身份验证。用户可能没有安装Kerberos客户端。为了避免平台依赖,我尝试使用MIT Kerberos库来实现这一点。我已经成功地使用krb5_get_init_creds_password获得了TKT,并验证了它的krb5_verify_init_creds。现在,我希望使用这个TKT在HTTP报头中创建SPNEGO令牌。有人能告诉我任何API或方法来创建SPNEGO令牌吗?
浏览 2提问于2013-10-31得票数 0
回答已采纳
1回答
我使用nginx作为我的asp.net核心web应用程序的反向代理。我使用spnego模块作为nginx来支持windows集成身份验证。这是工作,但如果用户输入不正确的凭据,凭据不会再次提示?而不是服务器发送响应"401授权所需“。我怎么才能解决这个问题?
nginx config:
server {
listen 80;
server_name irm-nginx.irm.local;
auth_gss on;
auth_gss_realm IRM.LOCAL;
auth_gss_format_full on;
auth
浏览 0提问于2019-10-03得票数 0
我们在让Kerberos/AD身份验证使用Spring时遇到了困难,我相信这个问题与Kerberos票证的加密类型和Active域功能级别有关。
基本设置是:
Tomcat 7Java 1.6 (29) Server 2008 R2Spring3.0 Security /SpnegoExtensionM2这里详细介绍: <code>H 211</code><code>F 212</code>
我有一个环境,Active域功能级别为Windows 2003,一切正常,如果客户端登录到域,则按预期进行身份验证。在这个环境中使用kerb托盘检查票证,我
浏览 2提问于2011-12-14得票数 10
我的Flask api服务器可以从一些curl中获取json,但无法从其他版本的curl中获取。
我是说,
content = request.get_json()
正确地处理某些curl请求,但是当收到来自某些curl请求时,即使curl命令完全相同,content也是None。
此curl的请求被正确接收。
curl 7.54.0 (x86_64-apple-darwin16.0) libcurl/7.54.0 SecureTransport zlib/1.2.8
Protocols: dict file ftp ftps gopher http https imap imaps ldap
浏览 0提问于2018-02-16得票数 0
1回答
ldapsearch总是在开头的每个查询中输出身份验证消息:
SASL/GSS-SPNEGO authentication started
SASL username: user.principal@DOMAIN.NAME
SASL SSF: 56
SASL data security layer installed.
...
<regular output>
如果我做了ldapsearch -o ldif-wrap=no -b cn=<omitted>,cn=groups,dc=lan,dc=<ommited>,dc=de "(cn=<omi
浏览 0提问于2021-10-22得票数 0
1回答
我正在开发一个运行在JRE7u7上的web应用程序,它使用Sourceforge的进行身份验证。只要Kerberos正常工作,一切都很好,但由于它部署在由多个域和各种干扰网络设备组成的复杂环境中,情况并不总是这样。
在Windows客户端无法获得服务票证的情况下,它们显然只尝试使用两种提供的机制执行SPNEGO : NTLMSSP和NegoEx。是否有希望使用JGSS库来理解这些内容?
我看过几次声明,Java 6 SPNEGO实现只支持Kerberos机制,但对于Java 7是否仍然如此,找不到明确的答案。如果不能做到这一点,有没有第三方Java代码可以使SPNEGO支持Kerberos和(
浏览 1提问于2012-09-26得票数 0
我正在尝试使用spnego和tomcat设置Kerberos集成Windows身份验证。
这是我第一次这样做,还没有看到真正的环境,所以主要依靠在线文档,主要是spnego网站。我正在犯以下错误:
GSSException: GSS级未指定的失败(机制级别:无效参数(400)无法找到使用HMAC解密AP REP - RC4的合适类型的密钥)
Catalina log shows:
Jan 30, 2017 10:12:37 AM net.sourceforge.spnego.SpnegoHttpFilter doFilter
SEVERE: HTTP Authorization Hea
浏览 0提问于2017-01-30得票数 1
我正在尝试Websphere 7中的SPNEGO功能,我希望允许在客户端不支持SPNEGO的情况下进行基本身份验证。
在我的web.xml里
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>SampleApp Login</realm-name>
</login-config>
在Websphere的管理控制台中,
在Security -> Global Security -> Web and SIP security -
浏览 0提问于2012-09-11得票数 0
2回答
如何启用php-curl的功能
、、、、
我需要我的CLI PHP脚本来发布一些价值到SPNEGO认证的网站。
$ch = curl_init(USERSPACE_MYSQL_SERVICES);
curl_setopt_array($ch, [
CURLOPT_HTTPAUTH => ??, //Set to SPNEGO
CURLOPT_POSTFIELDS => [...]
]);
然而,由于某些原因,SPNEGO被禁用:
从我的phpinfo中提取:
curl
cURL support => enabled
cURL Information => 7.21.6
Age =>
浏览 0提问于2012-04-03得票数 1
回答已采纳
我知道IWA身份验证器主要用于SPNEGO身份验证。我的问题是关于退回到基本身份验证。
当用户未提供SPNEGO协商标头时(用户未作为域用户登录,或者浏览器不信任该站点),Waffle IWA将退回到基本身份验证(这是可以的)。
问题是,一旦用户输入了无效的凭据,IWA身份验证器就会抛出/显示一个异常,但没有任何重试的选项。
com.sun.jna.platform.win32.Win32Exception: The logon attempt failed
waffle.windows.auth.impl.WindowsAuthProviderImpl.acceptSecurityT
浏览 62提问于2016-04-22得票数 0
回答已采纳
每个人,我现在都在努力解决几天的认证问题。我在tomcat7 7/java7 7/linux上开发一个web应用程序,我需要从这个应用程序访问一个Windows服务器。
当我在windows机器上运行代码时,一切正常工作,身份验证由Windows完成,我只需使用:
InputStream pdfInStream = new BufferedInputStream(pdfUrl.openStream(), bufferSize);
在linux服务器上,我通过GSS javax.security.auth.login.LoginContext使用Kerberos,并且能够对Kerberos服务器
浏览 1提问于2014-01-31得票数 1
回答已采纳
我刚刚发现了一个痛苦的事实:我的卷发不支持sftp。
~ curl --version
curl 7.43.0 (x86_64-pc-linux-gnu) libcurl/7.43.0 GnuTLS/3.3.15 zlib/1.2.8 libidn/1.28 librtmp/2.3
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtmp rtsp smb smbs smtp smtps telnet tftp
Features: AsynchDNS IDN IPv6 Large
浏览 0提问于2016-01-07得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
