KERBEROS/SPNEGO是spring-security项目的扩展,同时也是实现Windows Active Directory认证的一种方式,其流程和配置可参考http://lengyun3566.iteye.com/blog/1404943,这篇文章讲的比较详细。在开发过程中通过ktpass映射用户名这步有2种方式(我只知道2种):
1、ktpass -princ HTTP/项目部署所在的机器名@域名 -mapuser test\admin -out kerberos.keytab
2、ktpass /out kerberos.keytab /mapuser [email protected] /princ HTTP/ 项目部署所在的机器名@TEST.ORG /pass password
其中用户名最好以HTTP/开头,这也是官方网站建议的方式。值得注意的是:项目所在的机器C:\Documents and Settings\Administrator\WINDOWS下需要有个名称为krb5.ini的文件,文件内容为:
[libdefaults]
default_realm = 以域名为例
default_tkt_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
default_tgs_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
permitted_enctypes = aes128-cts rc4-hmac des3-cbc-sha1 des-cbc-md5 des-cbc-crc
[realms]
default_realm的值 = {
kdc = 项目所在的机器名
default_domain = 域名
}
[domain_realm]
. default_realm的值 = default_domain的值
主要是为了加解密windows密码。
用户通过浏览器发送请求时,若后台打印出如下信息:
WARNING: Negotiate Header was invalid: Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbAdAAAADw==org.springframework.security.authentication.BadCredentialsException: Kerberos validation not succesfull
则表明系统采用的认证方式是windows默认的NTLM协议,此时应将请求的地址应写成项目所在的机器名,否则测试很可能不成功。