curl – 使用SSPI进行Kerberos身份验证
|
注意:我设法取得一些进展,请参阅我当前问题的编辑,谢谢. 我想在Windows上使用libcurl来访问具有Kerberos / GSSAPI身份验证的网站.我首先尝试使用MIT Kerberos,但我还需要使用SSPI进行NTLM身份验证(libcurl不支持同时使用两种不同的实现).所以我希望使用Windows SSPI库在Kerberos中进行身份验证.我设法用SSPI和SPNEGO支持编译libcurl. 现在我的问题是我需要使用提供的凭据连接到任何提供的域(它可能是当前用户的领域或不同的领域). 但每次我试着让它发挥作用,我: >不要从DC中获取SSPI缓存中提供的凭据/域的任何票证(我使用kerbtray.exe查看条目). >使用这些方法时,我应该在此缓存中看到票证吗? >在使用InitializeSecurityContext / AcceptSecurityContext的客户端/服务器环回调用ImpersonateSecurityContext并查看Wireshark中的数据包后使用libcurl,我看到libcurl不使用任何提供的凭据而是回退到NTLM(这只会导致身份验证到失败) >环回客户端/服务器是否正确行为(我在Web上找不到任何其他实现的示例)? 为了便于调试和测试,您是否知道任何向SSPI缓存添加条目的工具,例如来自MIT Kerberos库的kinit?我正在使用Windows Server 2003资源工具包工具,但我找不到任何此类工具… 任何帮助将不胜感激 ! 编辑 好吧,我发现了如何使用libcurl制作我想要的东西. 当使用正确构建的curl版本与SSPI和SPNEGO标志时,curl将对kerberos域进行身份验证并将其存储在LSA缓存中. 使用curl.exe进行测试时,需要指定–negotiate参数以及用户名/密码.但是,使用libcurl时,只需将CURLOPT_HTTPAUTH选项设置为包含CURLAUTH_GSSNEGOTIATE的任何内容(例如CURLAUTH_ANY).在我的测试中,libcurl完成了预期的Kerberos握手: >联系Web服务器(web.b.com,其中B.COM是Web服务器的kerberos领域) 但是,这是我的新问题,所有这些握手都是使用当前记录的凭据进行的,比如user1@A.COM.由于A.COM和B.COM之间存在信任,我的用户可以访问,因此可以使用.我更喜欢使用提供的凭据(user2.B.COM)登录? 另外,我不太确定是否可以在与当前登录用户不同的用户的LSA缓存中添加条目? 如何通过模拟用户user2.B.COM来使libcurl能够访问与此用户关联的故障单以对Web服务器进行身份验证的方式来完成此工作? 解决方法也许这将有助于未来的人,所以这是我对上面列出的问题的解决方案.我使用LogonUser和ImpersonateLoggedOnUser方法来模拟指定用户的线程.使用它,curl使用与线程的用户身份相关联的LSA缓存,并设法使用该身份访问Web服务器. 在我的设置中,我得到以下Kerberos数据包: > A.COM的域控制器上的AS-REQ,带有KDC_ERR_WRONG_REALM响应 然后,只要模拟有效,我就可以对B.COM上的Web服务器做任何我想要的任何请求. (编辑:宜春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
