我们有什么?
客户端:win8,ie11,使用域凭据登录系统。
服务器:3 个 tomcat7 节点运行在 apache 2.2.22 之后。应用程序使用 waffle 库对以 sso 方式登录域的 Windows 用户进行身份验证。
应用程序使用 spring security,关于此主题的主要内容是处理通过表单登录的过滤器位于处理身份验证 header 的过滤器之前。
- NegotiateSecurityFilterProvider 仅支持协商协议(protocol),不支持 NTLM
我们做什么?
通过直接链接进入申请:https://app.domain.com/app_name/subordinates.do . 没关系,我们携带有效的 kerberos header (这是一个很好的大 kerberos token ,fiddler 将其描述为“授权 header (协商)似乎包含一个 kerberos 票”^^)并且应用程序端的华夫饼通过 kerberos 回复将我们传递给内部.
注销。
通过登录页面上的表单登录:我们使用用户名和密码发出发布请求,我们再次使用相同的 kerberos token 。应用程序使用用户名和密码在 waffle WindowsAuthenticationProvider 的帮助下登录我们。在这里,我们在丰富 NegotiateSecurityFilter 之前进行身份验证,因此服务器的回复中没有任何 kerberos header 。反正一切正常。
现在我们通过操作系统登录 MS 帐户。神奇的事情发生了。
当尝试通过直接链接登录时,我们在登录页面上收到“指定的句柄无效”错误,作为 SPRING_SECURITY_LAST_EXCEPTION 常量。 我的猜测是我们发送了某种无效的授权 header
当尝试通过表单登录时,我们得到“参数不正确”。 这里我认为我们发送了带有空主体的 ntlm 类型 1 POST 请求,但我们仍然有无效的 header ,因此应用程序无法识别它并且没有发送 401 回复,此后 waffle 将空名称发送到 AD,这里出现错误(只是猜测)
但是 当我打开 fiddler 以查看真正发生的情况时,一切都开始正常工作,就像登录 MS 帐户之前一样。
好的,为了弄清楚发送到服务器的 header 是什么,我在 cmd 文件中使用了一些代码:
UDPATED 添加代码和输出
var cookieContainer = new CookieContainer();
var authRequest = (HttpWebRequest) WebRequest.Create("https://app.domain.com/app_name/home.do");
var credentials = CredentialCache.DefaultNetworkCredentials;
authRequest.Credentials = credentials;
authRequest.CookieContainer = cookieContainer;
authRequest.AllowAutoRedirect = false;
var authResponse = (HttpWebResponse)authRequest.GetResponse();
Console.WriteLine("Request headers:");
foreach (string header in authRequest.Headers.AllKeys) {
Console.WriteLine("\t{0}: {1}", header, authRequest.Headers.Get(header));
}
Console.WriteLine("\nResponse: {0} {1}", (int)authResponse.StatusCode, authResponse.StatusDescription);
Console.WriteLine("Response headers:");
foreach (string header in authResponse.Headers)
Console.WriteLine("\t{0}: {1}", header, authResponse.GetResponseHeader(header));
foreach (var cookie in cookieContainer.GetCookies(new Uri("https://app.domain.com/app_name/")))
Console.WriteLine("Received cookie: {0}", cookie);
Console.WriteLine("\nPress ENTER to exit");
Console.ReadLine();
这是我得到的:
Request headers:
Authorization: Negotiate oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8=
Host: {host}
Cookie: JSESSIONID={sessionId}
Response: 302 Found
Response headers:
Vary: Accept-Encoding
Content-Length: 0
Content-Type: text/ plain; charset=UTF-8
Date: Tue, 04 Feb 2014 11:44:15 GMT
Location: https://app.domain.com/app_name/login.do?error_code=1
Server: Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.37
Received cookie: JSESSIONID={sessionId}
它肯定比 kerberos 的 header 小得多,fiddler 在身份验证有效时看到的 header 。
所以问题是:
1. 为什么登录MS账号会影响向服务器发送哪些headers?
2. 为什么打开fiddler就开始工作了?
3. 此 header 的类型:协商 oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8= 以及服务器应如何处理?
2014 年 3 月 17 日更新: wireshark 捕获在 tgs 请求后显示 KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN 错误,提到服务器 - 带有 apache 的机器名称。 在与支持团队调查后,我们发现用于在不同节点上运行 tomcat 服务器的特殊用户没有 spn 的机器域名与 apache(它有资源域名的 spn 但不是当前机器)。添加spn后问题消失。
最佳答案
解码oTMwMaADCgEBoioEKE5UTE1TU1AAAQAAAJeCCOIAAAAAAAAAAAAAAAAAAAAAABgOAJQAAAA8=后,我们可以看到它包含NTLMSSP(新版本)。
检查浏览器配置: 在 Internet Explorer 中:网页应位于“本地 Intranet”区域(在用户自动登录的区域)并且 IWA,集成 Windows 身份验证已启用。
如果不是这种情况,请查看 Wireshark 中的 dns 和 kerberos 数据包。
检查 DNS: IE 使用 dns 将网络服务器地址解析为主体名称。 CNAME地址解析为A地址。如果未找到,IE 将根本不会请求 Kerberos 服务票证(并将回退到 NTLM)。
检查 SPN: 当 Active Directory 找不到请求的主体(或那里或两个或更多)时。然后 IE 回到 NTLM。
关于windows - 为什么 Windows 8 在登录 MS 帐户后发送不同的授权 header ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21539379/