Spring Security Kerberos 配置IWA的关键步骤备忘

最新推荐文章于 2023-11-23 16:00:09 发布
最新推荐文章于 2023-11-23 16:00:09 发布 · 2.1k 阅读 · 1
文章标签:

#iwa #spring-security-kerberos

本文档介绍了在Windows域环境下,如何利用Spring Security Kerberos (SSK) 实现Integrated Windows Authentication (IWA)。主要内容包括SSK的功能,如Authentication Provider、Spnego Negotiate等,并详细阐述了配置IWA的关键步骤,包括SpnegoAuthenticationProcessingFilter的使用,KerberosServiceAuthenticationProvider的校验过程,以及在搭建过程中Windows Domain Controller的安装、keytab文件的生成和应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IWA: integrated windows authentication
简介:Windows域环境下,终端用户在使用电脑windows系统时已经通过域账户登录了,在使用一些application的时候,也想通过这种方式做认证,不需要在每个application再输入用户名密码。

Kerberos的认证原理貌似比较复杂,我也没看太懂,反正刚开始先用别人的封装把环境搭起来,这里使用了Spring Security Kerberos(以下简称SSK):
http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/

文档比较详细了,主要提供以下功能:
1. Authentication Provider
2. Spnego Negotiate
3. Using KerberosRestTemplate
4. Authentication with LDAP Services

在项目中使用了功能2,用户在访问我们登陆页面时,由SSK提供的Filter:SpnegoAuthenticationProcessingFilter负责检查用户Http Request中的Authorization Header,如果认证失败,会在entryPoint(SpnegoEntryPoint)的commence方法中执行以下代码,浏览器获取这个response后会自动发送kerberos ticket给当前url(这里流程可能不太严谨,没细看过negotiate的整个过程) 
response.addHeader("WWW-Authenticate", "Negotiate");
response.setStatus(401);


回到Filter,如果浏览器发来了kerberos ticket,就会有如下的逻辑去检查这个ticket: 
if ((header != nu
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security Kerberos 环境搭建
DoublePoint的博客
11-19 2920
如何将Kerberos用到具体的项目中才是我们真正需要掌握的,而网上能够查到的资料又非常稀少,为了将我2个月的研究过程进行整理,并希望能给恰巧遇到同样问题的你提供一点帮助,特整理了本篇文章,当然内容肯定会由很多错误的地方,还望嘴下留情,我们才好共同探讨。
spring security 5 oauth2认证服务器开发
qq_35425070的博客
02-05 1万+
原文地址 spring security 相关技术选型: 由于 spring security 使用广度不及 spring boot,且 spring 这两年废弃了许多项目,spring 的术语和称呼都有一些改变。 网上看到的一些教程大多是过时的,2019年之前的文章、教程大都跟不上最新的潮流,2019的文章和教程大部分又是转载的前几年的,因此需要看 spring 官方文档。 由于 spring ...
spring-security-kerberos
05-13
Spring Security Kerberos 使用Spring Security Kerberos Extension,仅通过打开URL即可针对您的Web应用程序对用户进行身份验证。 无需输入用户名/密码,也无需安装其他软件。 行为守则 该项目遵守《贡献者公约》。 通过参与,您将遵守此代码。 请向报告不可接受的行为。 下载工件 请参阅以获取Maven信息库信息。 文献资料 确保阅读《 。 也提供了适用于Spring Security Kerberos代码的广泛JavaDoc。 样品 样本可以在spring-security-kerberos-samples 。 有关更多信息,请查阅参考文档。 从源头建造 Spring Security Kerberos使用基于的构建系统。 在下面的说明中,。/ 是从源树的根调用的,并用作构建的跨平台,自包含的引导程序机制。 先决条件 和。 确保您
java kerberos配置_java – Spring Security Kerberos用基本链接
weixin_42120997的博客
02-16 725
由于这个问题有点难度,我假设您已经熟悉了Spring Security Kerberos samples,它显示了如何使用表单auth配置kerberos auth作为回退.我没有证据表明它会起作用,但我认为你应该能够用基本的auth链接你的kerberos auth而没有任何问题.我分享了我对此的看法……思想1:FilterChains支持多种身份验证方法的技巧是正确设置身份验证筛选器的顺序.如...
KerberosRestTemplate的使用】
weixin_43866250的博客
06-07 222
【代码】【KerberosRestTemplate的使用】
SpringSecurityKerberos使用碰到的问题解决
be Free & Happy
02-23 990
@DOMAIN 域名大写 主机名0和O要分清 生成keytab: # setspn -A HTTP/clone-WIN-0KD0B8USQGC.fuhao.com fuhao # ktpass /out c:\fuhao.keytab /mapuser fuhao@FUHAO.COM /princ HTTP/clone-WIN-0KD0B8USQGC.fuhao.com@FUHAO.COM /pass Password# /ptype KRB5_NT_PRINCIPAL /crypto All..
SpringBoot项目连接,有Kerberos认证的Kafka
weixin_50737119的博客
11-23 2161
本文章用于快速使用java程序,连接到有Kerberos认证的Kafka,并监听到消息
Spirng Acegi 身份认证连载6
阿永专栏
10-16 722
Spirng Acegi 身份认证 j_acegi_logout                                                         
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 1万+
Kerberos认证原理与使用教程
SpringBoot整合并简单使用Kerberos认证的Kafka
JustryDeng
03-11 1万+
早餐一个白鸡蛋吃得俺打嗝 -_-||| 准备工作 1、启动需要Kerberos认证的kafka。 注:具体配置方式可详见https://blog.youkuaiyun.com/justry_deng/article/details/88386114。 2、在本地将C:\Windows\System32\drivers\etc\hosts中指定kafka所在broker的ip地址以及其对应的主机名。 ...
RestTemplate使用
热门推荐
都是浮云
04-18 3万+
概述RestTemplate是spring内置的http请求封装,在使用spring的情况下,http请求直接使用RestTemplate是不错的选择。Rest服务端使用RestTemplate发起http请求的时候,Rest服务提供者没有什么特殊要求,直接按照传统的SpringMVC的Controller层实现方式实现即可。举例:@RestController @RequestMapping("/
spring security中自定义authenticationProcessingFilter
看的恐惧
05-26 1675
[url]http://hszdz.iteye.com/blog/337652[/url] [code="xml"] [/code] [code="java"]public Authentication attemptAuthentication( HttpServl...
Spring Security Kerberos 1.0.0.RC1 发布
weixin_33726943的博客
06-02 151
Spring Security Kerberos 1.0.0.RC1 发布,此版本主要改进如下: 更新整个项目 更新了手册文档 Reference Documentation 添加了新的 KerberosRestTemplate 从头重写了示例 文章转载自 开源中国社区 [http://www.oschina.net] ...
使用RestTemplate Spring安全认证
weixin_34050427的博客
12-26 755
使用RestTemplate Spring安全认证 java spring 认证authentication 安全spring-security 我有提供2个独立的一整套服务2 Spring的web应用程序。 Web应用程序1具有Spring Security的使用认证。 现在,Web应用程序2需要访问Web应用程序1的服务。通常情况下,我们的RestTemplate类来发送请求到其他网...
AD域帐户登陆过程
weixin_43981575的博客
06-04 4556
首先域帐户登陆过程分为:加域终端查找域控制器过程、认证登陆过程。 注释: Netlogon服务:域控制器注册所有的SRV记录的服务; SRV记录:存储在DNS
AD域集成Windows登录验证方案(SSO实现)
weixin_43138214的博客
12-07 4395
AD域集成Windows登录验证(SSO实现) 方案一:ie集成windows登录验证,使用组策略可实现免登录。 弊端:需要把web部署到IIS上面,技术较老 方案二:使用ldap连接AD域,前端传送计算机用户名和密码,后端回应token给前端实现sso单点登录 弊端:用户需要手动输入一次密码 方案三:使用ldap连接AD域,仅用用户名进行判断登录 前端:使用ie控件进行传输用户名,可以使用随机key加密信息传送给后端 弊端:只能使用ie登录,且需考虑安全性 后端:当客户端访问时会获取到客户端的ip地址,根
java 实现 Spring Security Kerberos SSO 登录
最新发布
02-23
### Java Spring Security Kerberos SSO 实现指南 #### 配置环境变量 为了使应用程序能够成功连接到Kerberos服务器,需设置特定的安全属性: ```java System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");[^1] ``` 此配置允许Java应用信任操作系统级别的认证凭证。 #### 添加依赖项 在`pom.xml`文件中加入必要的Maven依赖来支持Spring Security以及Jaas(Java Authentication and Authorization Service),这是处理Kerberos所需的基础库之一。对于Spring Boot项目来说,则应考虑使用starter包简化集成过程。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Other dependencies --> <dependency> <groupId>org.springframework.security.kerberos</groupId> <artifactId>spring-security-kerberos-web</artifactId> <version>${spring-security-kerberos.version}</version> </dependency> ``` #### 创建JAAS配置文件 创建名为`jaas.conf`的文件并放置于类路径下,定义服务端所需的登录模块及其参数。该文件通常包含如下内容: ``` com.sun.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required; }; ``` #### 自定义WebSecurityConfigurerAdapter 通过继承`WebSecurityConfigurerAdapter`来自定义安全策略,在其中指定Kerberos相关的过滤器和其他必要组件。 ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() // Allow access to login page without authentication. .anyRequest().authenticated(); // Require all other requests be authenticated. http .addFilterBefore(kerberosAuthenticationProcessingFilter(), BasicAuthenticationFilter.class); } private Filter kerberosAuthenticationProcessingFilter(){ final SpnegoAuthenticationProcessingFilter spnegoAuthenticationProcessingFilter = new SpnegoAuthenticationProcessingFilter(); // Additional configurations... return spnegoAuthenticationProcessingFilter; } } ``` #### 设置SPNEGO入口点 为了让客户端浏览器知道应该发起哪种类型的HTTP请求来进行身份验证,还需要注册一个特殊的入口处理器——即`SpnegoEntryPoint`. ```java @Bean public SpnegoEntryPoint spengoEntryPoint() { return new SpnegoEntryPoint("/login"); } ``` 以上就是基于Java平台利用Spring Security框架完成Kerberos协议下的单点登录功能的一个基本实现方案概述[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值