Spring Security Kerberos 示例

参考文档的这一部分介绍了示例 项目。可以通过构建 main 来手动编译示例 从 github.com/spring-projects/spring-security-kerberos 分发。spring-doc.cn

如果按原样运行示例,则在正确配置之前它不会工作 。有关具体示例,请参阅下面的注释。spring-doc.cn

使用服务器端身份验证器的 Security 服务器端身份验证示例示例spring-doc.cn

Security Server Spnego 和 Form Auth 示例使用票证验证 使用 Spnego 和 Formspring-doc.cn

Security Server Spnego 和 Form Auth Xml 示例使用ticket 使用 SPNEGO 和 Form 进行验证 (XML config)spring-doc.cn

Security Server Windows 身份验证示例

此示例的目标:spring-doc.cn

  • 在 Windows 环境中,用户将能够登录应用程序 具有已输入的 Windows Active Directory 凭据 在登录到 Windows 期间。不应该有任何要求 用户 ID/密码凭证。spring-doc.cn

  • 在非 Windows 环境中,用户将看到一个屏幕 以提供 Active Directory 凭据。spring-doc.cn

server:
    port: 8080
    app:
        ad-domain: EXAMPLE.ORG
        ad-server: ldap://WIN-EKBO0EQ7TS7.example.org/
        service-principal: HTTP/[email protected]
        keytab-location: /tmp/tomcat.keytab
        ldap-search-base: dc=example,dc=org
        ldap-search-filter: "(| (userPrincipalName={0}) (sAMAccountName={0}))"

在上面,您可以看到此示例的默认配置。你 可以使用普通的 Spring Boot 技巧覆盖这些设置,例如 使用命令行选项或自定义文件。application.ymlspring-doc.cn

运行服务器。spring-doc.cn

$ java -jar sec-server-win-auth-2.1.1.jar

您可能需要使用 或 bean 在 Linux 中使用自定义 kerberos 配置。-Djava.security.krb5.conf=/path/to/krb5.iniGlobalSunJaasKerberosConfigspring-doc.cn

有关如何使用 Windows Kerberos 环境的更多说明,请参阅设置 Windows 域控制器spring-doc.cn

登录到 使用域凭据和访问示例Windows 8.1spring-doc.cn

从非 Windows VM 访问示例应用程序并使用域 凭证。spring-doc.cn

Security Server Side Auth 示例

此示例演示了 服务器如何对用户进行身份验证 针对 Kerberos 环境,使用通过 表单登录。spring-doc.cn

运行服务器。spring-doc.cn

$ java -jar sec-server-client-auth-2.1.1.jar
server:
    port: 8080

Security Server Spnego 和表单身份验证示例

此示例演示如何将服务器配置为接受 从浏览器进行基于 Spnego 的协商,同时仍然能够下降 返回到基于表单的身份验证。spring-doc.cn

使用主体 Setup MIT Kerberos, 使用凭证手动执行 Kerberos 登录。user1spring-doc.cn

$ kinit user1
Password for [email protected]:

$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]

Valid starting     Expires            Service principal
10/03/15 17:18:45  11/03/15 03:18:45  krbtgt/[email protected]
  renew until 11/03/15 17:18:40

或使用 keytab 文件。spring-doc.cn

$ kinit -kt user2.keytab user1

$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]

Valid starting     Expires            Service principal
10/03/15 17:25:03  11/03/15 03:25:03  krbtgt/[email protected]
  renew until 11/03/15 17:25:03

运行服务器。spring-doc.cn

$ java -jar sec-server-spnego-form-auth-2.1.1.jar

现在您应该能够打开浏览器并让它执行 Spnego 使用现有票证进行身份验证。spring-doc.cn

有关配置浏览器以使用 Spnego 的更多说明,请参阅为 Spnego 协商配置浏览器spring-doc.cn

server:
    port: 8080
app:
    service-principal: HTTP/[email protected]
    keytab-location: /tmp/tomcat.keytab

Security Server Spnego 和表单身份验证 xml 示例

此示例与 Security Server Spnego 和表单验证示例相同,但 使用基于 xml 的配置而不是 JavaConfig。spring-doc.cn

运行服务器。spring-doc.cn

$ java -jar sec-server-spnego-form-auth-xml-2.1.1.jar

安全客户端 KerberosRestTemplate 示例

这是一个使用 Spring RestTemplate 访问 Kerberos 的示例 protected 资源。您可以将其与 Security Server Spnego 和 Form Auth Sample 一起使用。spring-doc.cn

默认应用程序的配置如下所示。spring-doc.cn

app:
    user-principal: [email protected]
    keytab-location: /tmp/user2.keytab
    access-url: http://neo.example.org:8080/hello

使用主体 Setup MIT Kerberos, 使用凭证手动执行 Kerberos 登录。user1spring-doc.cn

$ java -jar sec-client-rest-template-2.1.1.jar --app.user-principal --app.keytab-location

在上面,我们简单地将 and 设置为空值,这将禁用 keytab 文件的使用。app.user-principalapp.keytab-locationspring-doc.cn

如果操作成功,您应该看到以下输出。[email protected]spring-doc.cn

<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
  <head>
    <title>Spring Security Kerberos Example</title>
  </head>
  <body>
    <h1>Hello [email protected]!</h1>
  </body>
</html>

或者将 a 与 keytab 文件一起使用。user2spring-doc.cn

$ java -jar sec-client-rest-template-2.1.1.jar

如果操作成功,您应该看到以下输出。[email protected]spring-doc.cn

<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
  <head>
    <title>Spring Security Kerberos Example</title>
  </head>
  <body>
    <h1>Hello [email protected]!</h1>
  </body>
</html>