Node.js中的Kerberos身份验证https.get或https.request

Question

我正在尝试编写一个简单的脚本,从内部网络上的工具请求一些数据.这是代码:

#!/usr/bin/node

var https = require('https');
var fs = require('fs');

var options = {
  host: '<link>',
  port: 443,
  path: '<path>',
  auth: 'username:password',
  ca: [fs.readFileSync('../.cert/newca.crt')]
};

https.get(options, function(res) {
  console.log("Got response: " + res.statusCode);
  res.on('data', function (d) {
    console.log('BODY: ' + d);
  });
}).on('error', function(e) {
  console.log("Got error: " + e.message);
});

现在的问题是,如何使用Kerberos票证进行身份验证,而不是以auth:纯文本形式提供我的凭据？

Answer 1

来自http://docs.oracle.com/cd/E24191_01/common/tutorials/authn_kerberos_service.html

消息级标准的客户端令牌位置:Kerberos服务票证可以在Authorization HTTP标头中发送,也可以在消息本身内发送,例如,在元素内部.或者,它可以包含在消息属性中.选择以下选项之一:

所以代替您的用户名:密码,您提供票证

或者,您可以如下所述将信息放在邮件正文中或作为邮件属性

var request = https.request(options, function(resource) {
  var chunks = [];
   resource.on('data', function (chunk) {
     chunks.push(chunk);
   });
   resource.on('end', function () {
     var data = chunks.join('');
     console.log(data);
   });
}

request.on('error',...)
request.send('<body-with-ticket>');
request.end();

编辑:

""部分是我在哪里使用票证的例子,把它放在一个多类型的主体并发送它,或者使用WWW-Authenticate标头发送它

例如.将其添加到https.request上的选项中

options = {
    host: 'hostname',
    port: 443, 
    'WWW-Authenticate': 'Negotiate ' + ticketdata
};

谷歌有一些很好的图表如何运作:https: //developers.google.com/search-appliance/kb/secure/kerberos-diagram

Answer 2

我已经使用0.0.12版的“ kerberos”模块来工作。我用工作示例创建了一个要点：

https://gist.github.com/dmansfield/c75817dcacc2393da0a7

基本上，您使用三种方法来获取“授权”标头数据：

• authGSSClientInit，它需要服务名称，例如HTTP@somehost.com
• authGSSClientStep，它需要一个凭据缓存（在Linux上，您可以通过执行“ kinit”获得此凭据，并可以通过“ klist”进行验证），并实际上将您需要的base64内容还给您（不带前导的“ Negotiate”字符串）
• authGSSClientClean，释放所有分配的内存结构

然后，您创建一个“授权”标头（如上图所示，不是WWW-Authenticate，这是服务器发回的内容），它应该可以工作。

另请注意：通常，Web浏览器请求资源，在响应中返回带有WWW-Authenticate：Negotiate标头的401，然后使用“ Authorization”标头中提供的票证数据重新请求资源。每个资源都会发生两步舞。我不确定这是否意味着什么。

Answer 3

在 Paul Scheltema 的回答中，您需要从操作系统的深度获取票据数据。您（或代表您的模块）必须使用 GSS-API 才能让 Active Directory 为您生成票证数据。

Chrome 中存在这种机制，但 Node.js 中似乎不包含它（仅来自 Chrome 的 javascript 引擎），因此您可能需要添加一个模块，例如：

• Passport-Kerberos：https://www.npmjs.org/package/passport-kerberos和http://passportjs.org/guide/
• Kerberos（npm 安装 kerberos）
• 在 github 上的 Node.js 源代码中，有人一直在使用 Bones 模块（https://github.com/joyent/node/search?q=kerberos&ref=cmdform）。3 年前，使用 DES（这种编码类型非常弱，已被弃用多年）

要安装/编译此类模块，您可能需要有 Visual Studio。

要设置环境， - 在所有计算机上，您必须在端口 88 (Kerberos) 和 53 (dns) 上启用 tcp 和 udp。- 在 Windows Server 上，Active Directory 必须正在运行（ldap、dns、kdc） - 在https://www.npmjs.org/package/passport-kerberos页面上，他们使用术语 REALM。这是域名，大写。