Comment obtenir un ticket de service kerberos via GSS-API?

Quelqu'un sait-il comment obtenir un ticket de service à partir du Centre de Distribution de Clés (KDC) à l'aide de Java GSS-API?

J'ai un client lourd-application de la première authentifie via JAAS à l'aide de la Krb5LoginModule pour aller chercher le TGT à partir du cache de ticket (contexte: Windows par exemple, utilise une implémentation kerberos et stocke le tgt sécuritaire dans une zone de mémoire). À partir de la LoginManager je reçois le Sujet de l'objet qui contient le TGT. Maintenant, j'espère quand je créer un GSSCredential objet de mon service, le service de billetterie sera mis dans le Sujet les données d'identification ainsi (j'ai lu quelque part sur le web). J'ai donc essayé le suivant:

//Exception handling ommitted
LoginContext lc = new LoginContext("HelloEjbClient", new DialogCallbackHandler());
lc.login()
Subject.doAs(lc.getSubject(), new PrivilegedAction() {

    public Object run() {
        GSSManager manager = GSSManager.getInstance();
        GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME);
        GSSCredential clientCreds = manager.createCredential(clientName, 8 * 3600, createKerberosOid(), GSSCredential.INITIATE_ONLY);

        GSSName serverName = manager.createName("myService@localhost", GSSName.NT_HOSTBASED_SERVICE);
        manager.createCredential(serverName, GSSCredential.INDEFINITE_LIFETIME, createKerberosOid(), GSSCredential.INITIATE_ONLY);
        return null;
    }

    private Oid createKerberosOid() {
        return new Oid("1.2.840.113554.1.2.2");
    }

});

Malheureusement je reçois un GSSException: Non valide les informations d'identification fournies (Mécanisme de niveau: impossible de trouver tout Kerberos tgt (ticket granting ticket).

OriginalL'auteur Roland Schneider | 2008-12-16

16

Ma compréhension de l'obtention du ticket de service était mauvais. Je n'ai pas besoin d'obtenir les informations d'identification du service - ce n'est pas possible sur le client, car le client n'est pas vraiment un TGT (ticket granting ticket pour le serveur et donc n'ont pas le droit d'obtenir les informations d'identification du service.
Ce manque juste ici est de créer un nouveau GSSContext et de l'initialiser. La valeur de retour de cette méthode contient le ticket de service, si j'ai bien compris. Voici un exemple de code. Il doit être exécuté dans un PrivilegedAction au nom d'un connecté sujet:
```
    GSSManager manager = GSSManager.getInstance();
    GSSName clientName = manager.createName("clientUser", GSSName.NT_USER_NAME);
    GSSCredential clientCred = manager.createCredential(clientName,
                                                        8 * 3600,
                                                        createKerberosOid(),
                                                        GSSCredential.INITIATE_ONLY);

    GSSName serverName = manager.createName("http@server", GSSName.NT_HOSTBASED_SERVICE);

    GSSContext context = manager.createContext(serverName,
                                               createKerberosOid(),
                                               clientCred,
                                               GSSContext.DEFAULT_LIFETIME);
    context.requestMutualAuth(true);
    context.requestConf(false);
    context.requestInteg(true);

    byte[] outToken = context.initSecContext(new byte[0], 0, 0);
    System.out.println(new BASE64Encoder().encode(outToken));
    context.dispose();
```
La outToken contient contient alors le Ticket de Service. Cependant, ce n'est pas la façon dont le GSS-API est destinée à être utilisé. Son but est de cacher les détails pour le code, il est donc préférable d'établir un GSSContext à l'aide de la GSS-API sur les deux côtés. Sinon, vous devriez vraiment savoir ce que vous faites en raison de potentielles failles de sécurité.
Pour plus d'informations, lisez le Soleil SSO tutoriel avec kerberos avec plus de soin que j'ai fait.

EDIT:
Juste oublié que je suis sous Windows XP SP2. Il y a une nouvelle "fonction" dans cette version de Windows qui interdit l'utilisation de la TGT dans la RAM sous Windows. Vous devez modifier le registre pour permettre cela. Pour plus d'informations, jetez un coup d'oeil à la JGSS Dépannage page sujet dans le cas où vous l'expérience d'une "KrbException: KDC n'a pas de support pour le chiffrement de type (14)" comme je l'ai fait.

Je vous remercie pour votre contribution. Comme vous pouvez le voir, j'ai écrit cela il y a quelques temps, donc je ne me souviens pas les détails exacts, mais je suis assez sûr que ce n'était qu'un moyen comme un exemple. Que pensez-vous qui peut être fait pour améliorer cette réponse?
vérifiez votre lien de Soleil SSO tutoriel avec kerberos et ont un look à la figure 6. Il est la boucle que j'ai écrit sur.
Je pense que je n'ai pas inclure la boucle parce que je n'arrivais pas à comprendre ce que l'readToken() et sendToken(...) les méthodes sont censés faire.
dans le cas de HTTP readToken demande une réponse HTTP et extraits le jeton, sendToken effectue l'inverse.

OriginalL'auteur Roland Schneider

J'ai eu beaucoup de problèmes pour utiliser ce code, mais j'ai au moins une solution. Je l'ai poster ici, peut-être que ça aidera certains d'entre vous...

/**
* Tool to retrieve a kerberos ticket. This one will not be stored in the windows ticket cache.
*/
public final class KerberosTicketRetriever
{
private final static Oid KERB_V5_OID;
private final static Oid KRB5_PRINCIPAL_NAME_OID;
static {
try
{
KERB_V5_OID = new Oid("1.2.840.113554.1.2.2");
KRB5_PRINCIPAL_NAME_OID = new Oid("1.2.840.113554.1.2.2.1");
} catch (final GSSException ex)
{
throw new Error(ex);
}
}
/**
* Not to be instanciated
*/
private KerberosTicketRetriever() {};
/**
*
*/
private static class TicketCreatorAction implements PrivilegedAction
{
final String userPrincipal;
final String applicationPrincipal;
private StringBuffer outputBuffer;
/**
*
* @param userPrincipal  p.ex. <tt>[email protected]</tt>
* @param applicationPrincipal  p.ex. <tt>HTTP/webserver.myfirm.com</tt>
*/
private TicketCreatorAction(final String userPrincipal, final String applicationPrincipal)
{
this.userPrincipal = userPrincipal;
this.applicationPrincipal = applicationPrincipal;
}
private void setOutputBuffer(final StringBuffer newOutputBuffer)
{
outputBuffer = newOutputBuffer;
}
/**
* Only calls {@link #createTicket()}
* @return <tt>null</tt>
*/
public Object run()
{
try
{
createTicket();
}
catch (final GSSException  ex)
{
throw new Error(ex);
}
return null;
}
/**
*
* @throws GSSException
*/
private void createTicket () throws GSSException
{
final GSSManager manager = GSSManager.getInstance();
final GSSName clientName = manager.createName(userPrincipal, KRB5_PRINCIPAL_NAME_OID);
final GSSCredential clientCred = manager.createCredential(clientName,
8 * 3600,
KERB_V5_OID,
GSSCredential.INITIATE_ONLY);
final GSSName serverName = manager.createName(applicationPrincipal, KRB5_PRINCIPAL_NAME_OID);
final GSSContext context = manager.createContext(serverName,
KERB_V5_OID,
clientCred,
GSSContext.DEFAULT_LIFETIME);
context.requestMutualAuth(true);
context.requestConf(false);
context.requestInteg(true);
final byte[] outToken = context.initSecContext(new byte[0], 0, 0);
if (outputBuffer !=null)
{
outputBuffer.append(String.format("Src Name: %s\n", context.getSrcName()));
outputBuffer.append(String.format("Target  : %s\n", context.getTargName()));
outputBuffer.append(new BASE64Encoder().encode(outToken));
outputBuffer.append("\n");
}
context.dispose();
}
}
/**
*
* @param realm p.ex. <tt>MYFIRM.COM</tt>
* @param kdc p.ex. <tt>kerbserver.myfirm.com</tt>
* @param applicationPrincipal   cf. {@link #TicketCreatorAction(String, String)}
* @throws GSSException
* @throws LoginException
*/
static public String retrieveTicket(
final String realm,
final String kdc,
final String applicationPrincipal)
throws GSSException, LoginException
{
//create the jass-config-file
final File jaasConfFile;
try
{
jaasConfFile = File.createTempFile("jaas.conf", null);
final PrintStream bos = new PrintStream(new FileOutputStream(jaasConfFile));
bos.print(String.format(
"Krb5LoginContext { com.sun.security.auth.module.Krb5LoginModule required refreshKrb5Config=true useTicketCache=true debug=true ; };"
));
bos.close();
jaasConfFile.deleteOnExit();
}
catch (final IOException ex)
{
throw new IOError(ex);
}
//set the properties
System.setProperty("java.security.krb5.realm", realm);
System.setProperty("java.security.krb5.kdc", kdc);
System.setProperty("java.security.auth.login.config",jaasConfFile.getAbsolutePath());
//get the Subject(), i.e. the current user under Windows
final Subject subject = new Subject();
final LoginContext lc = new LoginContext("Krb5LoginContext", subject, new DialogCallbackHandler());
lc.login();
//extract our principal
final Set<Principal> principalSet = subject.getPrincipals();
if (principalSet.size() != 1)
throw new AssertionError("No or several principals: " + principalSet);
final Principal userPrincipal = principalSet.iterator().next();
//now try to execute the SampleAction as the authenticated Subject
//action.run() without doAsPrivileged leads to
//  No valid credentials provided (Mechanism level: Failed to find any Kerberos tgt)
final TicketCreatorAction action = new TicketCreatorAction(userPrincipal.getName(), applicationPrincipal);
final StringBuffer outputBuffer = new StringBuffer();
action.setOutputBuffer(outputBuffer);
Subject.doAsPrivileged(lc.getSubject(), action, null);
return outputBuffer.toString();
}
public static void main (final String args[]) throws Throwable
{
final String ticket = retrieveTicket("MYFIRM.COM", "kerbserver", "HTTP/webserver.myfirm.com");
System.out.println(ticket);
}
}

OriginalL'auteur Olivier Faucheux

Vous devez vous connecter pour publier un commentaire.