是否有一个apache模块实现了Kerberos身份验证以供Tomcat使用并且还支持Kerberos委派?
我已经查看了mod_spnego,它抛弃了它创建的SSPI上下文,只保留了主体名称。相反,我正在寻找一个模块,允许委托发送给Tomcat的票证 - 也就是说,将服务票据发送给身份验证并使用服务器端代表用户访问另一个服务。
编辑:为了澄清,我需要使用GSS / SSPI上下文在Win32下进行模拟,因此当旧代码连接到另一台服务器时,将使用委派的凭据。
答案 0 :(得分:7)
WAFFLE(Windows身份验证功能框架)现在提供从v1.4beta开始的功能。
它提供了一个ServletFilter,它使用本机Windows API对用户进行身份验证,使用Basic或Negotiate身份验证。然后可以模拟用户,并使用模拟用户的访问令牌执行本机API调用。
答案 1 :(得分:4)
如何使用JAAS领域并使用kerberos 5 JAAS模块?
http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm
http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html
看起来可能需要一些编码,但这些部分应该在那里。
答案 2 :(得分:2)
这是一个http://spnego.sourceforge.net/credential_delegation.html教程。它将Kerberos / SPNEGO实现为HTTP Servlet过滤器并支持凭证委派。