"Ошибка обнаруженного дефекта" (NTLM не Kerberos) с Kerberos/Spring Безопасность /IE/Active Directory

У нас возникли проблемы с получением Spring Security/Kerberos/AD для работы в нашем веб-приложении. Наш диагноз заключается в том, что наш сервер AD отправляет токен NTLM (мы можем сказать, что он начинается с "TlRMTVNT....." ) в IE и IE затем отправляет это в наше приложение, и он не работает. Наш сервер AD должен отправлять токен Kerberos/SPNEGO в IE.

"движущиеся части":

• Spring Безопасность 3.0 (исправлено)
• Microsoft Windows Server Enterprise 2003 SP1 Active Directory
• IE 8
• Tomcat (TC Server 6.0)
• Java 1.6

Мы установили все, как описано в инструкциях здесь:

https://spring.io/blog/2009/09/28/spring-security-kerberos-spnego-extension

Это включает в себя:

• Создание обычного пользователя в качестве Принципа Сервиса (то же, что и имя машины, где находится наше приложение). Мы устанавливаем следующие параметры учетной записи:
  • disabled 'Использование должно изменить пароль при следующем входе в систему
  • enabled 'password never expires'
  • enabled 'Использовать Kerberos DES...'
  • disabled 'Не требуется предварительная аутентификация Kerberos
  • ПРИМЕЧАНИЕ. Сервер 2003 не представляет "Эта учетная запись поддерживает Kerberos AES 128 бит..." и "Эта учетная запись поддерживает параметры Kerberos AES 256 бит...".
• Используется "ktpass.exe" для присвоения имени участника-службы (SPN) этому новому пользователю и экспорта этого ключа пользователя в файл keytab. с помощью 'ktpass/out ourweb.keytab/mapuser [email protected]/princ HTTP/[email protected]/pass *
• Загруженный исходный код https://src.springframework.org/svn/se-security/trunk.
• Скопировал файл keytab с сервера AD на WEB-INF/etc из исходного кода (приложения).
• Сделано изменение файла SunJaasKerbersoTicketValidator.java для чтения файла keytab. (Чтобы устранить ошибку, в которой приложение не может прочитать файл keytab из пути Java classpath) options.put( "keyTab", "C:\se-security\ spring -security-kerberos\spring -security-kerberos-sample\src\main\webapp\WEB-INF\etc\ourweb.keytab" );
• Настроить web.xml для использования spnego.xml.       contextConfigLocation       /WEB -INF/spnego.xml
  • Конфигурировано Spring Безопасность (spnego.xml) для использования Kerberos (SpnegoEntryPoint, SpnegoAuthenticationProcessingFilter и KerberosServiceAuthenticationProvider beans), предоставляя наше служебное имя и имя файла keytab.
  • Конфигурированный spnego.xml для чтения файла keytab, скопированного в WEB-INF/и т.д.                                                                                                   

Когда мы запустили наш TC-сервер, мы увидели, что элементы, инициализирующие красиво (т.е. без ошибок - "ключ принципа", полученный из keytab):

Creating instance of bean 'org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator#10fa4b8' 
Invoking afterPropertiesSet() on bean with name 'org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator#10fa4b8' 
Config name: C:\WINDOWS\krb5.ini
Debug is  true storeKey true useTicketCache false useKeyTab true doNotPrompt true ticketCache is null isInitiator false KeyTab is C:\se-security\spring-security-kerberos\spring-security-kerberos-sample\src\main\webapp\WEB-INF\etc\ourwebapp4.keytab refreshKrb5Config is false principal is HTTP/ourwebappweb4.testdomain.ourcompany.co.uk tryFirstPass is false useFirstPass is false storePass is false clearPass is false
>>> KeyTabInputStream, readName(): TESTDOMAIN.OURCOMPANY.CO.UK
>>> KeyTabInputStream, readName(): HTTP
>>> KeyTabInputStream, readName(): ourweb
>>> KeyTab: load() entry length: 78; type: 1
>>> KeyTabInputStream, readName(): TESTDOMAIN.OURCOMPANY.CO.UK
>>> KeyTabInputStream, readName(): HTTP
>>> KeyTabInputStream, readName(): ourweb.testdomain.ourcompany.co.uk
>>> KeyTab: load() entry length: 113; type: 1
Added key: 1version: 2
Ordering keys wrt default_tkt_enctypes list
default etypes for default_tkt_enctypes: 1.
0: EncryptionKey: keyType=1 kvno=2 keyValue (hex dump)=
0000: 91 01 43 E3 02 A8 B9 83   

principal key obtained from the keytab
principal is HTTP/[email protected]
EncryptionKey: keyType=1 keyBytes (hex dump)=0000: 91 01 43 E3 02 A8 B9 83   
Added server keyKerberos Principal HTTP/[email protected]y Version 2key EncryptionKey: keyType=1 keyBytes (hex dump)=
0000: 91 01 43 E3 02 A8 B9 83   

[Krb5LoginModule] added Krb5Principal  HTTP/[email protected] to Subject Commit Succeeded 

Finished creating instance of bean 'org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator#10fa4b8' 

Готовый к тестированию, мы включили "Интегрированную проверку подлинности Windows" в IE и удостоверились, что домен был указан в разделе сайта локальной сети IE. Затем мы подключились к нашему веб-приложению, используя полное доменное имя.

Когда мы это сделали, мы получили следующие ошибки в браузере:

500 Internal server error.

и в файле журнала сервера TC:

Negotiate Header was invalid: Negotiate     TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw== 
  org.springframework.security.authentication.BadCredentialsException: Kerberos validation not succesfull
  at org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator.validateTicket(SunJaasKerberosTicketValidator.java:74)
  at org.springframework.security.extensions.kerberos.KerberosServiceAuthenticationProvider.authenticate(KerberosServiceAuthenticationProvider.java:92)
  at org.springframework.security.authentication.ProviderManager.doAuthentication(ProviderManager.java:120)
  at org.springframework.security.authentication.AbstractAuthenticationManager.authenticate(AbstractAuthenticationManager.java:48)
  at org.springframework.security.extensions.kerberos.web.SpnegoAuthenticationProcessingFilter.doFilter(SpnegoAuthenticationProcessingFilter.java:132)
  at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
  at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:79)
  at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
  at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:149)
  at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:237)
  at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:167)
  at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
  at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
  at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:233)
  at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:191)
  at com.springsource.metrics.collection.web.HttpRequestMetricCollectionValve.invoke(HttpRequestMetricCollectionValve.java:44)
  at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:128)
  at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)
  at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109)
  at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:293)
  at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:849)
  at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:583)
  at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:379)
  at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:886)
  at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908)
  at java.lang.Thread.run(Thread.java:619)
Caused by: java.security.PrivilegedActionException: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
  at java.security.AccessController.doPrivileged(Native Method)
  at javax.security.auth.Subject.doAs(Subject.java:396)
  at org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator.validateTicket(SunJaasKerberosTicketValidator.java:72)
  ... 25 more
Caused by: GSSException: Defective token detected (Mechanism level: GSSHeader did not find the right tag)
  at sun.security.jgss.GSSHeader.<init>(GSSHeader.java:80)
  at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:287)
  at sun.security.jgss.GSSContextImpl.acceptSecContext(GSSContextImpl.java:267)
  at org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator$KerberosValidateAction.run(SunJaasKerberosTicketValidator.java:161)
  at org.springframework.security.extensions.kerberos.SunJaasKerberosTicketValidator$KerberosValidateAction.run(SunJaasKerberosTicketValidator.java:1)
  ... 28 more
SecurityContextHolder now cleared, as request processing completed

Кажется (из того, что мы можем понять), что сервер AD отправляет токен NTLM (мы можем сказать, что он начинается с "TlRMTVNT....." ) в IE и IE затем отправляет это в наше приложение и он не работает.

Наш сервер AD должен отправлять токен Kerberos/SPNEGO в IE.

Другие примечания:

• Наш сервер (tc-сервер) и клиент (браузер) находятся на разных (виртуальных) машинах и в том же домене.