Tri*_*Man 5 java kerberos ldap single-sign-on
我使用以下代码获取 kerberos 票证:
String client = "com.sun.security.jgss.krb5.initiate";
LoginContext lc = new LoginContext(client, new CallbackHandler() {
@Override
public void handle(Callback[] arg0) throws IOException, UnsupportedCallbackException {
System.out.println("CB: " + arg0);
}
});
lc.login();
System.out.println("SUBJ: " + lc.getSubject());
这段代码工作正常,我得到一个显示我的用户 ID 的主题。我现在遇到的问题是我需要知道用户是否属于 AD 中的某个组。有办法从这里做到这一点吗?
我见过使用 LDAP 获取用户组的代码,但它需要使用用户/密码登录,我需要以 SSO 方式进行。
实际上,您无法使用登录时获得的票证来执行此操作。问题在于 Windows PAC(包含组成员身份信息)位于票证的加密部分中。只有域控制器知道如何解密该初始票证。
可以使用服务票来完成。因此,您可以设置一个密钥表,使用 jgss 向自己进行身份验证,然后解密票证,找到 PAC,解码 PAC,然后处理 SID。我无法在 Java 中找到大部分代码,尽管它可以在 C 中找到。请查看此内容以了解如何解密票证。现在,此时您正在讨论编写或查找 NDR 解码器、阅读有关 PAC 和 sids 如何组合在一起的所有规范,或者将 C 代码移植到 Java。我的建议是采取不同的方法。相反,请使用 Kerberos 登录 LDAP。找到支持 Java SASL 的LDAP 库,您应该能够使用 Kerberos 票证登录。
如果您的应用程序想要知道用户所属的组以便填充菜单和类似内容,您只需以该用户身份登录即可。但是,如果您要决定用户拥有哪些访问权限,请不要以该用户身份登录来获取 LDAP 访问权限。问题是,使用 Kerberos,攻击者可以与用户合作,模拟您的应用程序的整个基础设施,除非您确认您的票证来自基础设施。也就是说,因为用户知道他们的密码,并且因为这是您的应用程序知道的唯一秘密,所以用户可以与某人合作假装是 LDAP 服务器并声称拥有他们想要的任何访问权限。
相反,您的应用程序应该有自己的帐户在访问 LDAP 时使用。如果这样做,您只需查找组列表即可。我确实意识到这有点复杂。