我们有Tomcat 8应用程序,配置了Windows身份验证(IWA)和SPNEGO身份验证器,密钥表和SPN。 它适用于域用户 - 它们在不使用Kerberos提示用户和密码的情况下进行身份验证。 对于非域用户,我们希望通过使用本机浏览器弹出窗口输入用户名和密码来允许身份验证。似乎tomcat应该使用NTLM来处理这种情况。 Hovewer,当非域用户输入登录名和密码到浏览器弹出窗口时 - 它再次出现并且tomcat日志中有异常:
2017-01-24 05:15:46,910 [http-nio-127.0.0.1-8455-exec-9] DEBUG org.apache.catalina.authenticator.SpnegoAuthenticator- Unable to login as the service principal
java.security.PrivilegedActionException: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
at java.security.AccessController.doPrivileged(Native Method)
at javax.security.auth.Subject.doAs(Subject.java:422)
at org.apache.catalina.authenticator.SpnegoAuthenticator.authenticate(SpnegoAuthenticator.java:230)
at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:577)
at com.avaya.cas.auth.authenticator.IViewTokenAuthenticator.invoke(IViewTokenAuthenticator.java:212)
at com.avaya.cas.ssl.valves.SSLValve.invoke(SSLValve.java:84)
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:142)
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
at org.apache.catalina.authenticator.SingleSignOn.invoke(SingleSignOn.java:240)
at org.apache.catalina.valves.RemoteIpValve.invoke(RemoteIpValve.java:676)
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:518)
at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1091)
at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:668)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1527)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1484)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
Caused by: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
at sun.security.jgss.GSSHeader.<init>(GSSHeader.java:97)
at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:306)
at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:285)
at org.apache.catalina.authenticator.SpnegoAuthenticator$AcceptAction.run(SpnegoAuthenticator.java:323)
at org.apache.catalina.authenticator.SpnegoAuthenticator$AcceptAction.run(SpnegoAuthenticator.java:310)
... 20 more
GSSHeader有一段代码:
int var2 = decodedHeader.read();
if(var2 != 96) {
throw new GSSException(10, -1, "GSSHeader did not find the right tag");
在我的情况下,var2是78(&#39; N&#39; char) decodingHeader-是一个标准的第一个NTLM消息,它从授权头中的浏览器发送。 就我而言,它是:
授权:谈判TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAKADk4AAAADw ==
解码后,它将类似于NTLMSSP ...二进制数据...&#39;。 因此,该消息的第一个字节始终是&#39; N&#39;(78)但不是96,因为Tomcat的代码是预期的。
Tomcat是否支持NTLM身份验证?这很奇怪,因为域用户可以进行身份验证(这意味着Tomcat可以使用提供的密钥表解密来自用户的质询)
答案 0 :(得分:2)
SPNEGO代码的捐赠者。
GSSHeader did not find the right tag表示客户端you receive a pure NTLM token未发送任何SPNEGO令牌。当Kerberos由于某种原因而失败时会发生这种情况。
NTLM非常不同且非常专有。在这种情况下,服务器充当中间人将哈希从客户端传递到域控制器。服务器本身不能做任何事情。 Tomcat无法解密任何内容without the help of a domain controller。此外,除了Samba的内部代码之外,没有已知的NTLM服务器端实现可用作开源(特别是在Java中)。
Upshot:forget about NTLM并执行我推荐的here。
注意:这种情况有IAKERB,但只有MIT Kerberos和Heimdal支持它。