Autenticación Tomcat utilizando SPNEGO/Kerberos y delegación

Question

¿Hay algún módulo apache que implemente la autenticación Kerberos para que lo use Tomcat y también admita la delegación de Kerberos?

Ya he mirado en mod_spnego y se tira a la basura el contexto SSPI sólo crea manteniendo el nombre principal. En cambio, estoy buscando un módulo que permita la delegación del ticket enviado a Tomcat, es decir, tomar el ticket de servicio enviado para autenticación y usarlo para acceder a otro servicio en nombre del usuario.

EDIT: Para aclarar, tengo que pasar por debajo de Win32 utilizando el contexto GSS/SSPI por lo que cuando el código heredado conecta a otro servidor, se utilizan las credenciales delegadas.

Answer 1

WAFFLE (Autenticación de Windows marco funcional) ofrece ahora esa característica a partir de v1.4beta.

Proporciona una ServletFilter que utiliza las API nativas de Windows para autenticar al usuario, ya sea usando Basic o negociación de la autenticación. Luego, se puede suplantar al usuario, y las llamadas de API nativas se realizarán con el token de acceso del usuario suplantado.

Answer 2

¿Y si uso el reino JAAS y el uso de las Kerberos 5 Módulo de JAAS?

http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#JAASRealm

http://java.sun.com/j2se/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/module/Krb5LoginModule.html

parece que podría requerir un poco de codificación, pero las piezas deben estar allí.

Answer 3

Aquí hay un tutorial http://spnego.sourceforge.net/credential_delegation.html. Implementa Kerberos/SPNEGO como un filtro de servlet HTTP y admite la delegación de credenciales.