Tomcat Internet Explorer аутентификация Kerberos 401 без разрешения

Question

Tomcat Internet Explorer аутентификация Kerberos 401 без разрешения

Мы настроили tomcat для работы с аутентификацией Windows, используя Kerberos (нам нужен SSO).
С другого клиентского компьютера через Internet Explorer мы отправляем HTTP Get, браузер возвращает 401 и заголовок говорит Negotiate.
Мы настроили Internet Explorer для использования встроенной защиты и добавили адрес сайта tomcat в качестве локальной интрасети.

На логи кота я вижу:

Loaded from Java config
>>> KdcAccessibility: reset
>>> KrbCreds found the default ticket granting ticket in credential cache.
>>> Obtained TGT from LSA: Credentials:
  client=wfuser@MY.DOM
  server=krbtgt/MY.DOM@MY.DOM
  authTime=20160111063609Z
  startTime=20160111063609Z
  endTime=20160111163609Z
  renewTill=null
  flags=INITIAL;PRE-AUTHENT
  EType (skey)=17
  (tkt key)=18
  Search Subject for SPNEGO ACCEPT cred (<<DEF>>, sun.security.jgss.spnego.SpNegoCredElement)
Search Subject for Kerberos V5 ACCEPT cred (<<DEF>>, sun.security.jgss.krb5.Krb5AcceptCredential)
Found ticket for wfuser@MY.DOM to go to krbtgt/NIA.DOM@MY.DOM expiring on Mon Jan 11 18:36:09 IST 2016

В чем может быть проблема? Это проблема интернет-обозревателя? или может проблема кота?

0

active-directory single-sign-on tomcat7 kerberos windows-authentication

Источник

user1426106 11 янв '16 в 10:54

1 ответ

Другие вопросы по тегам active-directory single-sign-on tomcat7 kerberos windows-authentication

user7057680 13 ноя '16 в 13:21 2016-11-13 13:21 · Answer 1 · 2016-11-13 13:21

Клиент и сервер Tomcat находятся в разных сферах Kerberos (я предполагаю, что они контролируются Active Directory из-за того, как вы пометили свой пост). То есть клиент домена Active Directory находится в MY.DOM, а сервер Tomcat - в NIA.DOM. Чтобы это работало так, как вы ожидаете, они должны находиться в одном домене AD / области Kerberos. Согласно фрагменту журнала, клиент и KDC отображаются в одной и той же области - MY.DOM - в соответствии с этим:

>>> Obtained TGT from LSA: Credentials:
  client=wfuser@MY.DOM
  server=krbtgt/MY.DOM@MY.DOM

Но сервер Tomcat не должен быть, потому что он, кажется, запрашивает у клиента билет реферала из области Kerberos с именем NIA.DOM.

Found ticket for wfuser@MY.DOM to go to krbtgt/NIA.DOM@MY.DOM expiring on Mon Jan 11 18:36:09 IST 2016

Изучите отношения доверия AD между MY.DOM и NIA.DOM и убедитесь, что они двусторонние и не нарушены.