Tomcat-Authentifizierung mit SPNEGO/Kerberos und Delegierung

Question

Gibt es ein Apache-Modul, das die Kerberos-Authentifizierung für die Verwendung durch Tomcat implementiert und auch die Kerberos-Delegierung unterstützt?

Ich habe bereits auf mod_spnego geschaut und es wirft den SSPI-Kontext weg, den es erstellt, nur den Hauptnamen behaltend. Stattdessen suche ich nach einem Modul, mit dem das an Tomcat gesendete Ticket delegiert werden kann - das heißt, das für die Authentifizierung gesendete Serviceticket zu nehmen und es serverseitig für den Zugriff auf einen anderen Dienst im Auftrag des Benutzers zu verwenden.

EDIT: Um zu verdeutlichen, muss ich unter Win32 unter Verwendung der GSS/SSPI-Kontext imitieren, wenn Legacy-Code zu einem anderen Server verbindet, werden die delegierten Anmeldeinformationen verwendet.

Answer 1

WAFFLE (Windows Authentication Functional Framework) bietet jetzt dieses Feature ab v1.4beta.

Es bietet einen ServletFilter, der native Windows-APIs verwendet, um den Benutzer zu authentifizieren, entweder mit Basic- oder Negotiate-Authentifizierung. Der Benutzer kann dann imitiert werden, und native API-Aufrufe werden mit dem Zugriffstoken des imitierten Benutzers ausgeführt.

Answer 2

Wie wäre es mit der Verwendung des JAAS-Realms und der Verwendung des kerberos 5 JAAS-Moduls?

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm

http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html

Sieht wie es könnte ein wenig Codierung erfordern, aber die Stücke sollten da sein.

Answer 3

Hier ist ein Tutorial. Es implementiert Kerberos/SPNEGO als HTTP-Servlet-Filter und unterstützt die Delegierung von Anmeldeinformationen.