那些遇到过的问题

使用SSPI进行Kerberos身份验证

ada*_*gle 5 curl kerberos sspi gssapi

注意:我设法取得一些进展,请参阅我当前问题的编辑,谢谢.

我想在Windows上使用libcurl来访问具有Kerberos/GSSAPI身份验证的网站.我首先尝试使用MIT Kerberos,但我还需要使用SSPI进行NTLM身份验证(libcurl不支持同时使用两种不同的实现).所以我希望使用Windows SSPI库在Kerberos中进行身份验证.我设法用SSPI和SPNEGO支持编译libcurl.

现在我的问题是我需要使用提供的凭据连接到任何提供的域(它可能是当前用户的领域或不同的领域).根据我的理解,我需要从secur32.dll/security.dll调用AcquireCredentialsHandle和InitializeSecurityContext来检索Kerberos票证.

但每次我试着让它发挥作用,我:

  1. 不要从SSPI缓存中提供的凭据/域的DC获取任何票证(我使用kerbtray.exe查看条目).
    • 使用这些方法时,我应该在此缓存中看到票证吗?
  2. 在使用InitializeSecurityContext/AcceptSecurityContext的客户端/服务器环回调用ImpersonateSecurityContext并查看Wireshark中的数据包之后使用libcurl,我发现libcurl不使用任何提供的凭据而是回退到NTLM(这只会导致身份验证失败) )
    • 环回客户端/服务器是否正确行为(我在Web上找不到任何其他实现的示例)?
    • 如果假冒成功,libcurl应该使用线程的模拟凭据吗?
    • libcurl是否支持使用SSPI的所有NTLM + Kerberos(我甚至不确定...)?

为了便于调试和测试,您是否知道任何向SSPI缓存添加条目的工具,例如来自MIT Kerberos库的kinit?我正在使用Windows Server 2003资源工具包工具,但我找不到任何此类工具...

任何帮助将不胜感激 !

编辑

好吧,我发现了如何使用libcurl制作我想要的东西.最后我假设我必须事先与SSPI做一些工作,但curl正确支持它.

当使用正确构建的curl版本与SSPI和SPNEGO标志时,curl将对kerberos域进行身份验证并将其存储在LSA缓存中.

使用curl.exe进行测试时,需要指定--negotiate参数以及用户名/密码.但是,使用libcurl时,只需将CURLOPT_HTTPAUTH选项设置为包含CURLAUTH_GSSNEGOTIATE的任何内容(例如CURLAUTH_ANY).在我的测试中,libcurl完成了预期的Kerberos 握手:

  1. 联系Web服务器(web.b.com,其中B.COM是Web服务器的kerberos领域)
  2. 收到未经授权的答复,WWW-Authenticate参数设置为Negotiate
  3. Libcurl/SSPI将TGS-REQ发送到当前用户域的域控制器(DC)(比如A.COM)
  4. 不知何故,下一个TGS-REQ被发送到Web服务器的域控制器(B.COM)
  5. 收到域B.COM的Kerberos票证,并在LSA缓存中添加一个条目(可通过klist.exe或kerbtray.exe查看)
  6. Libcurl使用授权信息(WebS服务器)向Web服务器发送HTTP请求

但是,这是我的新问题,所有这些握手都是使用当前记录的凭据进行的,比如user1@A.COM.由于A.COM和B.COM之间存在信任,我的用户可以访问,因此可以使用.我更喜欢使用提供的凭据(user2.B.COM)登录?

另外,我不太确定是否可以在与当前登录用户不同的用户的LSA缓存中添加条目?

如何通过模拟用户user2.B.COM来使libcurl能够访问与此用户关联的故障单以对Web服务器进行身份验证的方式来完成此工作?

ada*_*gle 4

也许这会对将来的某人有所帮助,所以这是我对上面列出的问题的解决方案。

我使用LogonUserImpersonateLoggedOnUser方法来模拟具有指定用户的线程。使用它,curl 使用与线程的用户身份关联的 LSA 缓存,并设法使用该身份访问 Web 服务器。

在我的设置中,我得到以下 Kerberos 数据包:

  1. A.COM 的域控制器上的 AS-REQ 具有 KDC_ERR_WRONG_REALM 响应
  2. B.COM 域控制器上的 AS-REQ 具有 KRB5KDC_ERR_PREAUTH_REQUIRED 响应
  3. B.COM 域控制器上的 AS-REQ
  4. B.COM 域控制器上的 TGS-REQ
  5. 带有 GSS-API 身份验证信息的 HTTP 请求

然后,只要模拟有效,我就可以向 B.COM 上的 Web 服务器发出任何我想要的请求。

归档时间:

查看次数:

7879 次

最近记录:

12 年,6 月 前
相关归档
curl命令 - 无法加载客户端证书-8018 17
电报BOT Api:如何使用PHP发送照片? 7
"sh:第1行:已移动:未找到命令"使用curl |安装npm SH 6
CURL 返回完整的字符串响应而不是 xml 5
Kerberos 授权不适用于 Chrome 和 FireFox,但适用于 IE 5
问题:curl: (7) 无法连接到本地主机端口 1080:连接被拒绝 5
cURL不尊重密码 4
GET 和 POST 请求中的 Curl -X。我需要-X吗? 4
如何使用PHP以一种奇怪的方式重定向XML文件? 3
如何使用AWK单行获取HTTP状态代码? 0
难疑归档
我遇到了合并冲突.我怎样才能中止合并? 2391
PHP:从数组中删除元素 2362
什么是sleep()的JavaScript版本? 2115
如何恢复Git中丢失的存储? 1617
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
检查值是否是JavaScript中的对象 1194
哪个MySQL数据类型用于存储布尔值 1168
如何向给定元素添加类? 1109
在Python中将两个列表转换为字典 1101
我必须在何处以及为何要使用"模板"和"typename"关键字? 1061