Какие учетные данные будут использоваться для входа в kereberoes как в curl(с согласованием и без согласования), так и в браузере

Question

Какие учетные данные будут использоваться для входа в kereberoes как в curl(с согласованием и без согласования), так и в браузере

Я сделал настройку для Kerberoes с SPNEGO на сервере JBOSS. После развертывания в JBOSS, когда я пытаюсь получить доступ к этому веб-приложению либо через curl с обработкой текста, либо через браузер, всегда это дает 401 исключение.

Я следовал инструкциям на этой странице и внес небольшие изменения в web.xml и jboss-web.xml.

Дополнительно добавлено содержимое web.xml

<login-config>
   <auth-method>SPNEGO</auth-method>
   <realm-name>SPNEGO</realm-name>
</login-config>

Содержимое jboss-web.xml дополнительно добавлено

 <jacc-star-role-allow>true</jacc-star-role-allow>

я настроил оба домена в одной системе следующим образом

127.0.0.1   primary.example.com
127.0.0.1   secondary.example.com

Ниже приведен вывод команды klist

 Ticket cache: KEYRING:persistent:0:0 
 Default principal: rareddy@EXAMPLE.COM

 Valid starting       Expires              Service principal  
 10/10/2017 19:56:17  10/11/2017 19:55:24  HTTP/primary.example.com@EXAMPLE.COM
 10/10/2017 19:55:24  10/11/2017 19:55:24  krbtgt/EXAMPLE.COM@EXAMPLE.COM

Ниже приведен вывод команды listprincs

HTTP/primary.example.com@EXAMPLE.COM
K/M@EXAMPLE.COM
kadmin/admin@EXAMPLE.COM
kadmin/changepw@EXAMPLE.COM
kadmin/localhost@EXAMPLE.COM
kiprop/localhost@EXAMPLE.COM
krbtgt/EXAMPLE.COM@EXAMPLE.COM
rareddy@EXAMPLE.COM
root/admin@EXAMPLE.COM

Я пробовал команду curl как

curl --negotiate -u rareddy@EXAMPLE.COM: rareddy http://primary.example.com:28080/kerberoes/hello/world

Вывод команды curl:

<html><head><title>JBWEB000065: HTTP Status 401 - </title><style><!--H1 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:22px;} H2 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:16px;} H3 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:14px;} BODY {font-family:Tahoma,Arial,sans-serif;color:black;background-color:white;} B {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;} P {font-family:Tahoma,Arial,sans-serif;background:white;color:black;font-size:12px;}A {color : black;}A.name {color : black;}HR {color : #525D76;}--></style> </head><body><h1>JBWEB000065: HTTP Status 401 - </h1><HR size="1" noshade="noshade"><p><b>JBWEB000309: type</b> JBWEB000067: Status report</p><p><b>JBWEB000068: message</b> <u></u></p><p><b>JBWEB000069: description</b> <u>JBWEB000121: This request requires HTTP authentication.</u></p><HR size="1" noshade="noshade"></body></html>

Содержимое krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = EXAMPLE.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 EXAMPLE.COM = {
 kdc = secondary.example.com:88  
 admin_server = secondary.example.com:749  
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

Я проверил логи Kerberoes

Вывод журнала как

   otp: Loaded
Oct 10 19:02:04 localhost.localdomain krb5kdc[5323](info): setting up network...
krb5kdc: setsockopt(10,IPV6_V6ONLY,1) worked
krb5kdc: setsockopt(12,IPV6_V6ONLY,1) worked
Oct 10 19:02:04 localhost.localdomain krb5kdc[5323](info): set up 4 sockets
Oct 10 19:02:04 localhost.localdomain krb5kdc[5396](info): commencing operation
Oct 10 19:02:27 localhost.localdomain krb5kdc[5396](info): AS_REQ (8 etypes {18 17 16 23 25 26 20 19}) 127.0.0.1: ISSUE: authtime 1507654947, etypes {rep=18 tkt=18 ses=18}, rareddy@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM
Oct 10 19:04:40 localhost.localdomain krb5kdc[5396](info): TGS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 127.0.0.1: ISSUE: authtime 1507654947, etypes {rep=18 tkt=18 ses=18}, rareddy@EXAMPLE.COM for HTTP/primary.example.com@EXAMPLE.COM
Oct 10 19:55:24 localhost.localdomain krb5kdc[5396](info): AS_REQ (8 etypes {18 17 16 23 25 26 20 19}) 127.0.0.1: ISSUE: authtime 1507658124, etypes {rep=18 tkt=18 ses=18}, rareddy@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM
Oct 10 19:56:17 localhost.localdomain krb5kdc[5396](info): TGS_REQ (8 etypes {18 17 20 19 16 23 25 26}) 127.0.0.1: ISSUE: authtime 1507658124, etypes {rep=18 tkt=18 ses=18}, rareddy@EXAMPLE.COM for HTTP/primary.example.com@EXAMPLE.COM

Поэтому, пожалуйста, помогите мне, какие учетные данные будут использоваться с командой curl с --negotiate?

и, как и при доступе в браузере, он запрашивает имя пользователя и пароль. Какой из них я должен дать, чтобы продолжить?

0

authentication curl kerberos spnego

Источник

user8499364 11 окт '17 в 03:10

0 ответов

Другие вопросы по тегам authentication curl kerberos spnego