Node.js中的Kerberos身份验证https.get或https.request

Question

我正在尝试编写一个简单的脚本，该脚本从内部网络上的工具请求一些数据。这是代码：

#!/usr/bin/node

var https = require('https');
var fs = require('fs');

var options = {
  host: '<link>',
  port: 443,
  path: '<path>',
  auth: 'username:password',
  ca: [fs.readFileSync('../.cert/newca.crt')]
};

https.get(options, function(res) {
  console.log("Got response: " + res.statusCode);
  res.on('data', function (d) {
    console.log('BODY: ' + d);
  });
}).on('error', function(e) {
  console.log("Got error: " + e.message);
});

现在问题是，如何使用Kerberos票证进行身份验证，而不是以纯文本格式在auth:中提供我的凭据？

Answer 1

来自http://docs.oracle.com/cd/E24191_01/common/tutorials/authn_kerberos_service.html

  

消息级标准的客户端令牌位置：Kerberos   服务票证可以在Authorization HTTP标头中发送，也可以发送   在消息本身内部，例如，在一个内部   元件。或者，它可以包含在消息中   属性。选择以下选项之一：

所以代替你的用户名：密码，你提供了门票

或者您可以如下所述将信息放在邮件正文中或作为邮件属性

var request = https.request(options, function(resource) {
  var chunks = [];
   resource.on('data', function (chunk) {
     chunks.push(chunk);
   });
   resource.on('end', function () {
     var data = chunks.join('');
     console.log(data);
   });
}

request.on('error',...)
request.send('<body-with-ticket>');
request.end();

编辑：

“”部分是我使用故障单的位置示例，将其放入多类型主体并发送，或者使用WWW-Authenticate标头发送它

例如。将其添加到https.request上的选项

options = {
    host: 'hostname',
    port: 443, 
    'WWW-Authenticate': 'Negotiate ' + ticketdata
};

谷歌有一些关于它是如何工作的很好的图表： https://developers.google.com/search-appliance/kb/secure/kerberos-diagram

Answer 2

我使用“kerberos”模块，版本0.0.12使这个工作。我用工作示例创建了一个Gist：

https://gist.github.com/dmansfield/c75817dcacc2393da0a7

基本上，您使用三种方法来获取“授权”标题数据：

• authGSSClientInit，需要服务名称，例如HTTP@somehost.com
• authGSSClientStep，它需要存在凭证缓存（在Linux上你可以通过“kinit”得到它并且可以用“klist”验证它），并且实际上为你提供了你需要的base64东西（没有领先的“谈判”） “string）
• authGSSClientClean，释放所有已分配的内存结构

然后你创建一个“授权”标题（不是WWW-Authenticate，如上所示，这是服务器发回的），它应该可以工作。

另请注意：通常，Web浏览器请求资源，在响应中使用WWW-Authenticate：Negotiate标头获取401，然后使用“Authorization”标头中提供的故障单数据重新请求资源。这种两步舞蹈适用于每种资源。我不确定这是否意味着什么。

Answer 3

在Paul Scheltema的回答中，您需要从操作系统的深度获取票证数据。您（或代表您的模块）必须使用GSS-API为您创建Active Directory生成的ticketdata。

此类机制存在于Chrome中，但似乎它未包含在Node.js中（仅限Chrome中的javascript引擎），因此您可能需要添加模块，例如：

• Passport-Kerberos：https://www.npmjs.org/package/passport-kerberos和http://passportjs.org/guide/
• Kerberos（npm install kerberos）
• 在github的Node.js的源代码中，有人一直在使用Bones模块（https://github.com/joyent/node/search?q=kerberos&ref=cmdform）。 3年前，使用DES（此编码类型非常弱并且已被弃用多年）

要安装/编译此类模块，您可能需要安装Visual Studio。

---

设置环境， - 在所有计算机上，您必须在端口88（Kerberos）和53（dns）上启用tcp和udp。 - 在Windows Server上，Active Directory必须正在运行（ldap，dns，kdc） - 在页面https://www.npmjs.org/package/passport-kerberos上，他们使用术语REALM。它是域名，书面大写。

Answer 4

如果您使用的是Windows，则可以使用SSPI界面。它通过项目node-expose-sspi在Node上公开。

SSPI接口允许您使用SSO（NTLM和Kerberos）编写任何客户端或服务器。

https://github.com/jlguenego/node-expose-sspi

注意：我是node-expose-sspi的作者。

Answer 5

2020 UPD：

ushort[2] npm软件包的较新版本使用的方法要少得多。但我成功了：

kerberos

在Windows和Linux上都能完美运行，在macOS上也应能运行。