Проверка подлинности Tomcat с использованием SPNEGO / Kerberos и делегирования

Question

Существует ли модуль apache, который реализует аутентификацию Kerberos для использования Tomcat, а также поддерживает делегирование Kerberos?

Я уже посмотрел на mod_spnego, и он отбрасывает контекст SSPI, который он создает, только сохраняя имя участника. Вместо этого я ищу модуль, который позволил бы делегировать билет, отправленный Tomcat, то есть взять билет службы, отправленный для аутентификации, и использовать его на стороне сервера для доступа к другой службе от имени пользователя.

РЕДАКТИРОВАТЬ: Чтобы уточнить, мне нужно выдать себя за Win32, используя контекст GSS / SSPI, чтобы при подключении устаревшего кода к другому серверу использовались делегированные учетные данные.

Answer 1

WAFFLE (функциональная структура аутентификации Windows) теперь предоставляет эту функцию, начиная с версии 1.4beta.

Он предоставляет ServletFilter, который использует собственные API-интерфейсы Windows для аутентификации пользователя, используя обычную или согласованную аутентификацию. В этом случае пользователь может выдать себя за другого, и вызовы нативных API будут выполняться с токеном доступа от имени другого пользователя.

Answer 2

Как насчет использования области JAAS и использования модуля kerberos 5 JAAS?

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm

http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html

Похоже, что это может потребовать небольшого кодирования, но кусочки должны быть там.

Answer 3

Вот учебник http://spnego.sourceforge.net/credential_delegation.html. Он реализует Kerberos / SPNEGO в качестве фильтра сервлетов HTTP и поддерживает делегирование полномочий.