SPRING SECURITY KERBEROS/SPNEGO EXTENSION

KERBEROS/SPNEGO是spring-security项目的扩展,同时也是实现Windows Active Directory认证的一种方式,其流程和配置可参考http://lengyun3566.iteye.com/blog/1404943,这篇文章讲的比较详细。在开发过程中通过ktpass映射用户名这步有2种方式(我只知道2种):

1、ktpass -princ HTTP/项目部署所在的机器名@域名 -mapuser test\admin -out kerberos.keytab

2、ktpass /out kerberos.keytab /mapuser [email protected] /princ HTTP/ 项目部署所在的机器名@TEST.ORG  /pass password

其中用户名最好以HTTP/开头,这也是官方网站建议的方式。值得注意的是:项目所在的机器C:\Documents and Settings\Administrator\WINDOWS下需要有个名称为krb5.ini的文件,文件内容为:

[libdefaults]

        default_realm = 以域名为例

default_tkt_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

default_tgs_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

permitted_enctypes   = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc

[realms]

  default_realm的值 = {

                kdc = 项目所在的机器名

default_domain = 域名

        }

[domain_realm]

. default_realm的值  = default_domain的值

主要是为了加解密windows密码。

用户通过浏览器发送请求时,若后台打印出如下信息:

WARNING: Negotiate Header was invalid: Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==
org.springframework.security.authentication.BadCredentialsException: Kerberos validation not succesfull

则表明系统采用的认证方式是windows默认的NTLM协议,此时应将请求的地址应写成项目所在的机器名,否则测试很可能不成功。

 

猜你喜欢

转载自yangyongbyjava.iteye.com/blog/1663675