Междоменная / реальная аутентификация

Вот моя проблема: я не могу найти ни одного документа по междоменной аутентификации с помощью java + kerberos. Мне нужно пройти аутентификацию по удаленному LDAP в другой сфере. Как мы можем сделать это в Java?

Спасибо

РЕДАКТИРОВАТЬ:

Вот мой krb5.conf:

[libdefaults]

default_realm = REALM1

dns_lookup_realm = ложь

dns_lookup_kdc = ложь

forwardable = true

[царства]

REALM1 = {

kdc = kerberos.my.url.domain1: 88

admin_server = kerberos.my.url.domain1: 749

default_domain =.

}

REALM2 = {

kdc = kerberos.my.url.domain2: 88

admin_server = kerberos.my.url.domain2: 749

}

[domain_realm]

.my.url.domain1 = REALM1

.my.url.domain2 = REALM2

Кросс-область работает в командной строке, когда я выполняю на domain1

ldapsearch -H "ldap: /my.url.domain2"

так что я полагаю, что мой krb5.conf хорош


java kerberos ldap jaas gssapi
person BigMac    schedule 04.02.2011    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Аутентификация с использованием LDAP - это не то же самое, что аутентификация с помощью Kerberos.
Не могли бы вы дать дополнительные сведения о том, что вам нужно выполнить. Например:

  • вы пишете клиентский код, который должен отвечать на запрос проверки подлинности Kerberos?
  • Ваш код должен проверять пользователь + пароль по LDAP?
person Opher    schedule 04.02.2011
comment
Спасибо, Офер, за ответ. Я имел в виду, что мне нужно получить билет из удаленного KDC, расположенного на REALM2, чтобы получить доступ к LDAP, также расположенному на REALM2. Я могу пройти аутентификацию на REALM1 для доступа к локальному LDAP REALM1, но не могу выполнить междоменную аутентификацию! - person BigMac; 08.02.2011
comment
Можете ли вы разместить свои файлы keytab и krb5.conf / ini, при необходимости изменив имена и IP-адреса :) - person Opher; 09.02.2011
comment
Я отредактировал свой пост. В настоящее время я использую Jaas + Jndi для связи с локальным LDAP. Если я изменю URL-адрес LDAP на ldap: /my.url.domain2, это не сработает. Полагаю, мне нужно сказать Jaas, чтобы он использовал перенаправленный билет, чтобы получить перекрестный билет krbtgt / REALM2 @ REALM1, а затем использовать его для связи с LDAP в домене 2. Но я не знаю, как я могу это сделать. Спасибо, Офер. - person BigMac; 09.02.2011