HttpClient définir les informations d'identification pour l'authentification Kerberos

Je suis en train d'essayer de s'authentifier avec un kerberos/HTTP hôte. À l'aide d'Apache HttpClient que mon client et une version légèrement modifiée de cette source.
Mon authentification Kerberos va parfaitement bien, et je souhaite savoir comment définir les informations d'identification de connexion par programmation. Pour le moment, les informations sont saisies manuellement par l'intermédiaire de la console, mais je veux l'avoir choisi par moi, au moment de l'exécution. [ Comme je le souhaite automatiser et de test de charge pour le serveur avec un grand nombre d'utilisateurs, en fait. ].

EDIT : Voici un extrait de code dans les parties pertinentes :

..
        NegotiateSchemeFactory nsf = new NegotiateSchemeFactory();        
        httpclient.getAuthSchemes().register(AuthPolicy.SPNEGO, nsf);

        Credentials use_jaas_creds = new Credentials() {

            public String getPassword() {
                return null;
            }

            public Principal getUserPrincipal() {
                return null;
            }    
        };

        httpclient.getCredentialsProvider().setCredentials(
                new AuthScope(null, -1, null),
                use_jaas_creds);

        HttpUriRequest request = new HttpGet("http://kerberoshost/");
        HttpResponse response = httpclient.execute(request);
 ..

L'interface Credentials a deux méthodes - getPassword() et getUserPrincipal(), mais de peu de débogage, je l'ai fait, ils ne semblent pas être invoquée à tous.

Ce qui me manque ici ? Quel est le moyen le plus propre à statiquement définir les informations d'identification ?

Un très question similaire avait été posée avant, mais keytabs/login.conf hack est trop lourd et n'est pas une solution pratique pour un système automatisé de test de charge avec un grand nombre d'informations d'identification utilisateur.
Reconnaissant de toute aide sur ce.

En C, vous serait d'utiliser la routine routine c krb5_get_init_creds_password. Je ne pouvais pas trouver un analogue direct dans le Java kerberos api en quelques minutes, j'ai regardé web.mit.edu/kerberos/krb5-devel/doc/appdev/refs/api/...
C est pas vraiment une option pour moi. Parce que le cas de test n'implique pas qu'kerberos, mais HTTP. Le test est vérifié basé sur HTTP succès de rediriger les codes d'état etc. Mais s'il existe des utilitaires (C/ligne de commande) qui ne Kerberos+HTTP, sera heureux d'essayer. Je ne suis pas au courant de tout.
Je suis raisonnablement sûr que le roulage peut le faire. curl -V curl 7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.14.3.0 zlib/1.2.3 libidn/1.18 libssh2/1.4.2 Protocols: tftp ftp telnet dict ldap ldaps http file https ftps scp sftp Features: GSS-Negotiate IDN IPv6 Largefile NTLM SSL libz
Je crois qu'il existe une version java de kinit, de sorte que l'api doit exister quelque part. Je ne suis pas beaucoup d'un expert java. Peut-être cette question peut aider stackoverflow.com/questions/1037009/...
eh bien, oui. Je vais donner curl essayer. Bien que n'étant pas une réponse directe à la question, qui pourrait bien aider à résoudre mon problème! 🙂 Merci pour les pointeurs.

OriginalL'auteur user30622 | 2014-02-07

  1. 21

    En raison de SPNEGO l'extrait de code que vous publiez (informations d'Identification des classes d'installation n'est pas utilisée par httpclient pour s'authentifier.

    Vous pouvez utiliser un DoAs + un CallBackhandler de passe de l'utilisateur & mot de passe lors de l'exécution.

    Alors vous avez besoin d'un login.conf ou quel que soit le nom avec ceci à l'intérieur:

    KrbLogin{
 com.sun.security.auth.module.Krb5LoginModule required doNotPrompt=false debug=true useTicketCache=false;
};

    Vous pouvez modifier le nom de "KrbLogin" le nom que vous voulez (n'oubliez pas d'utiliser le même nom dans votre code java)

    et de définir cette avec des propriétés système java:

    System.setProperty("java.security.auth.login.config", "login.conf");

    ou avec un

    -Djava.security.auth.login.config=login.config

    Alors vous avez besoin d'un krb5 fichier de configuration (généralement krb5.ini ou krb5.conf avec la bonne configuration à l'intérieur)

    Si votre poste de travail (ou serveur) est correctement configuré pour l'authentification Kerberos cette classe doit des œuvres comme il est (avec propper fichier de connexion.conf et krb5.ini), j'ai utilisé httpclient 4.3.3 et java 1.7 pour le tester:

    import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.auth.AuthSchemeProvider;
import org.apache.http.auth.AuthScope;
import org.apache.http.auth.Credentials;
import org.apache.http.client.CredentialsProvider;
import org.apache.http.client.HttpClient;
import org.apache.http.client.config.AuthSchemes;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpUriRequest;
import org.apache.http.config.Registry;
import org.apache.http.config.RegistryBuilder;
import org.apache.http.impl.auth.SPNegoSchemeFactory;
import org.apache.http.impl.client.BasicCredentialsProvider;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.util.EntityUtils;
import javax.security.auth.Subject;
import javax.security.auth.callback.*;
import javax.security.auth.login.LoginContext;
import javax.security.auth.login.LoginException;
import java.io.IOException;
import java.security.AccessController;
import java.security.Principal;
import java.security.PrivilegedAction;
import java.util.Set;
public class HttpClientKerberosDoAS {
public static void main(String[] args) throws Exception {
System.setProperty("java.security.auth.login.config", "login.conf");
System.setProperty("java.security.krb5.conf", "krb5.conf");
System.setProperty("javax.security.auth.useSubjectCredsOnly", "false");
String user = "";
String password = "";
String url = "";
if (args.length == 3) {
user = args[0];
password = args[1];
url = args[2];
HttpClientKerberosDoAS kcd = new HttpClientKerberosDoAS();
System.out.println("Loggin in with user [" + user + "] password [" + password + "] ");
kcd.test(user, password, url);
} else {
System.out.println("run with User Password URL");
}
}
public void test(String user, String password, final String url) {
try {
LoginContext loginCOntext = new LoginContext("KrbLogin", new KerberosCallBackHandler(user, password));
loginCOntext.login();
PrivilegedAction sendAction = new PrivilegedAction() {
@Override
public Object run() {
try {
Subject current = Subject.getSubject(AccessController.getContext());
System.out.println("----------------------------------------");
Set<Principal> principals = current.getPrincipals();
for (Principal next : principals) {
System.out.println("DOAS Principal: " + next.getName());
}
System.out.println("----------------------------------------");
call(url);
} catch (IOException e) {
e.printStackTrace();
}
return true;
}
};
Subject.doAs(loginCOntext.getSubject(), sendAction);
} catch (LoginException le) {
le.printStackTrace();
}
}
private void call(String url) throws IOException {
HttpClient httpclient = getHttpClient();
try {
HttpUriRequest request = new HttpGet(url);
HttpResponse response = httpclient.execute(request);
HttpEntity entity = response.getEntity();
System.out.println("----------------------------------------");
System.out.println("STATUS >> " + response.getStatusLine());
if (entity != null) {
System.out.println("RESULT >> " + EntityUtils.toString(entity));
}
System.out.println("----------------------------------------");
EntityUtils.consume(entity);
} finally {
httpclient.getConnectionManager().shutdown();
}
}
private  HttpClient getHttpClient() {
Credentials use_jaas_creds = new Credentials() {
public String getPassword() {
return null;
}
public Principal getUserPrincipal() {
return null;
}
};
CredentialsProvider credsProvider = new BasicCredentialsProvider();
credsProvider.setCredentials(new AuthScope(null, -1, null), use_jaas_creds);
Registry<AuthSchemeProvider> authSchemeRegistry = RegistryBuilder.<AuthSchemeProvider>create().register(AuthSchemes.SPNEGO, new SPNegoSchemeFactory(true)).build();
CloseableHttpClient httpclient = HttpClients.custom().setDefaultAuthSchemeRegistry(authSchemeRegistry).setDefaultCredentialsProvider(credsProvider).build();
return httpclient;
}
class KerberosCallBackHandler implements CallbackHandler {
private final String user;
private final String password;
public KerberosCallBackHandler(String user, String password) {
this.user = user;
this.password = password;
}
public void handle(Callback[] callbacks) throws IOException, UnsupportedCallbackException {
for (Callback callback : callbacks) {
if (callback instanceof NameCallback) {
NameCallback nc = (NameCallback) callback;
nc.setName(user);
} else if (callback instanceof PasswordCallback) {
PasswordCallback pc = (PasswordCallback) callback;
pc.setPassword(password.toCharArray());
} else {
throw new UnsupportedCallbackException(callback, "Unknown Callback");
}
}
}
}
}

    Remarque:

    vous pouvez utiliser:

    System.setProperty("sun.security.krb5.debug", "true");

    ou:

    -Dsun.security.krb5.debug=true

    d'étudier les problèmes.

    Je vous remercie. N'a jamais eu une chance de l'essayer. Et j'ai pensé à une autre façon avec curl etc. pendant ce temps.
    Fonctionne parfaitement, je vous remercie! Pour ceux qui utilisent la plaine de java URLConnection, réglage par défaut authentificateur pourrait être plus facile à voir docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/...
    Si vous êtes sur Windows, vous devrez peut-être configurer une entrée de registre. Cet article m'aider à obtenir ce travail cr.openjdk.java.net/~weijun/spécial/krb5winguide-2/raw_files/... et également des documents de la connexion.conf un peu. Vous pouvez également utiliser KerberosCredentials au lieu de mise en œuvre de "Pouvoirs", comme dans l'original question ci-dessus, c'est un peu plus soignée.

    OriginalL'auteur eljeko