Déchiffrer un ticket kerberos en utilisant Spnego

J'ai utilisé avec succès le filtre de servlet de http://spnego.sourceforge.net en combinaison avec la PAC analyseur de http://jaaslounge.sourceforge.net/ sans la nécessité de faire quelque chose explicitement avec DER/ASN.1 analyseurs :

/** 
* Retrieve LogonInfo (for example, Group SID) from the PAC Authorization Data
* from a Kerberos Ticket that was issued by Active Directory.
*/  
byte[] kerberosTokenData = gssapiData;
try {
SpnegoToken token = SpnegoToken.parse(gssapiData);
kerberosTokenData = token.getMechanismToken();
} catch (DecodingException dex) {
//Chromium bug: sends a Kerberos response instead of an spnego response 
//with a Kerberos mechanism
} catch (Exception ex) {
log.error("", ex);
}   
try {
Object[] keyObjs = IteratorUtils.toArray(loginContext.getSubject()
.getPrivateCredentials(KerberosKey.class).iterator());
KerberosKey[] keys = new KerberosKey[keyObjs.length];
System.arraycopy(keyObjs, 0, keys, 0, keyObjs.length);
KerberosToken token = new KerberosToken(kerberosTokenData, keys);
log.info("Authorizations: "); 
for (KerberosAuthData authData : token.getTicket().getEncData()
.getUserAuthorizations()) {
if (authData instanceof KerberosPacAuthData) {
PacSid[] groupSIDs = ((KerberosPacAuthData) authData)
.getPac().getLogonInfo().getGroupSids();
log.info("GroupSids: " + Arrays.toString(groupSIDs));
response.getWriter().println("Found group SIDs: " + 
Arrays.toString(groupSIDs));
} else {
log.info("AuthData without PAC: " + authData.toString());
}   
}   
} catch (Exception ex) {
log.error("", ex);
}   

J'ai aussi écrit un nouveau HttpFilter (forké spnego.sf.net): spnego-pac, qui divulgue l'LogonInfo par le biais de la getUserPrincipal().

Un exemple de projet démontrant le code ci-dessus dans leur intégralité peuvent être trouvés ici:

https://github.com/EleotleCram/jetty-spnego-demo

Spnego-pac filtre (utilisé dans l'exemple ci-dessus) peut être trouvé ici:

https://github.com/EleotleCram/spnego.sf.net-fork

Espère que cela est utile à tout le monde.

__

Marcel

- Je fournir à mon propre solution au problème:

Je l'ai basé ma solution sur BouncyCastle bibliothèque (pour l'analyse des pièces de jeton) et JaasLounge (pour le décryptage chiffré partie de jeton). Malheureusement, le code de décodage de l'ensemble spnego jeton de JaasLounge a échoué pour mes besoins. J'ai eu à l'écrire moi-même.

J'ai décodé billet, partie par partie, tout d'abord la construction de DERObjects de byte[] tableau:

private DERObject[] readDERObjects(byte[] bytes) throws IOException {
ASN1InputStream stream = new ASN1InputStream(new ByteArrayInputStream(
bytes));
List<DERObject> objects = new ArrayList<DERObject>();
DERObject curObj;
while ((curObj = stream.readObject()) != null) {
objects.add(untag(curObj));
}
return objects.toArray(new DERObject[0]);
}

Le ganupt() est ma fonction d'assistance, de supprimer DERTaggedObject emballage

private DERObject untag(DERObject src) {
if (src instanceof DERTaggedObject) {
return ((DERTaggedObject) src).getObject();
}
return src;
}

Pour l'extraction de la séquence de DERObject à partir de DERObject j'ai écrit une autre fonction d'assistance:

private DERObject[] readDERObjects(DERObject container) throws IOException {
//do operation varying from the type of container
if (container instanceof DERSequence) {
//decode using enumerator
List<DERObject> objects = new ArrayList<DERObject>();
DERSequence seq = (DERSequence) container;
Enumeration enumer = seq.getObjects();
while (enumer.hasMoreElements()) {
DERObject curObj = (DERObject) enumer.nextElement();
objects.add(untag(curObj));
}
return objects.toArray(new DERObject[0]);
}
if (container instanceof DERApplicationSpecific) {
DERApplicationSpecific aps = (DERApplicationSpecific) container;
byte[] bytes = aps.getContents();
return readDERObjects(bytes);
}
if (container instanceof DEROctetString) {
DEROctetString octets = (DEROctetString) container;
byte[] bytes = octets.getOctets();
return readDERObjects(bytes);
}
throw new IllegalArgumentException("Unable to decode sequence from "+container);
}

À la fin, quand j'ai DEROctetStream, que les contenus cryptés la partie, j'ai simplement utilisé KerberosEncData:

KerberosEncData encData = new KerberosEncData(decrypted, matchingKey);

La séquence d'octets que nous recevons de navigateur client sera analysée en un seul DERApplicationSpecific
qui est le billet à la racine de niveau 0.

La racine contient:

• DERObjectIdentifier - SPNEGO OID
• DERSequence - niveau 1

Niveau 1 contient:

• SÉQUENCE de DERObjectIdentifier - mech types
• DEROctetString gainé de DERApplicationSepecific - niveau 2

Niveau 2 contient:

• DERObjectIndentifier - Kerberos OID
• KRB5_AP_REQ tag 0x01 0x00analysée comme boolean (false)
• DERApplicationSpecific - conteneur de DERSequence - niveau 3

Niveau 3 contient:

• numéro de version - devrait être de 5
• type de message - 14 (AP_REQ)
• AP options (DERBITString)
• DERApplicationSpecific gainé de DERSequence avec un billet de la partie
• DERSeqeuence avec un ticket supplémentaire de la partie - pas traitées

Billet de la partie 4 contient:

• Billet de version doit être de 5
• Billet de domaine - le nom du domaine dans lequel l'utilisateur est authentifié
• DERSequence de serveur de noms. Le nom de chaque serveur est DERSequence de 2 chaînes:
  nom du serveur et le nom de l'instance
• DERSequence cryptés la partie

Chiffré partie de la séquence (niveau 5) contient:

• Algorithme utilisé nombre
  • 1, 3 - DES
  • 16 - des3-cbc-sha1-kd
  • 17 - ETYPE-AES128-CTS-HMAC-SHA1-96
  • 18 - ETYPE-AES256-CTS-HMAC-SHA1-96
  • 23 - RC4-HMAC
  • 24 - RC4-HMAC-EXP
• Numéro de version clé
• Chiffré partie (DEROctetStream)

Le problème était avec DERBoolean constructeur, qui jettent ArrayIndexOutOfBoundException, lorsque la séquence 0x01 0x00 a été trouvé. J'ai dû changer de constructeur:

public DERBoolean(
byte[]       value)
{
//2011-01-24 llech make it byte[0] proof, sequence 01 00 is KRB5_AP_REQ
if (value.length == 0)
this.value = 0;
else
this.value = value[0];
}