Entschlüsseln unter Verwendung des Spnego kerberos-ticket

Ich bin mit spnego ( http://spnego.sourceforge.net ) für die kerberos-Authentifizierung unter JBoss.

Brauche ich zum entschlüsseln kerberos-ticket für den Zugriff auf den authorization-Daten, die containt PAC-Daten. Der PAC-Daten ist notwendig, um zu entscheiden, welche Rollen sind zu gewährenden Benutzer.

Umgang und entschlüsseln kerberos-ticket? Ich habe gesucht net für die Beispiele, aber ohne Anstrengung.

InformationsquelleAutor der Frage Danubian Sailor | 2010-12-22

  1. 8

    Diese Jungs haben ein komplettes PAC-Decodierung Umsetzung:

    http://jaaslounge.sourceforge.net/

    Können Sie die token-parser wie diese:

    HttpServletRequest request = (HttpServletRequest) req;
String header = request.getHeader("Authorization");
byte[] base64Token = header.substring(10).getBytes("UTF-8");
byte[] spnegoHeader = Base64.decode(base64Token);

SpnegoInitToken spnegoToken = new SpnegoInitToken(spnegoHeader);

    Wirst du springen müssen, obwohl Sie einige Reifen, wenn Sie möchten, zu entschlüsseln und die zugrunde liegenden Kerberos-ticket. Nicht sicher, ob Sie das brauchen.

    Gewähren

    InformationsquelleAutor der Antwort Grant Cermak

  2. 8

    Habe ich erfolgreich benutzt der servlet-filter aus http://spnego.sourceforge.net in Kombination mit den PAC-parser von http://jaaslounge.sourceforge.net/ ohne die Notwendigkeit, etwas zu tun, explizit mit DER/ASN.1 Parser :

    /** 
 * Retrieve LogonInfo (for example, Group SID) from the PAC Authorization Data
 * from a Kerberos Ticket that was issued by Active Directory.
 */  
byte[] kerberosTokenData = gssapiData;
try {
    SpnegoToken token = SpnegoToken.parse(gssapiData);
    kerberosTokenData = token.getMechanismToken();
} catch (DecodingException dex) {
    //Chromium bug: sends a Kerberos response instead of an spnego response 
    //with a Kerberos mechanism
} catch (Exception ex) {
    log.error("", ex);
}   

try {
    Object[] keyObjs = IteratorUtils.toArray(loginContext.getSubject()
                         .getPrivateCredentials(KerberosKey.class).iterator());
    KerberosKey[] keys = new KerberosKey[keyObjs.length];
    System.arraycopy(keyObjs, 0, keys, 0, keyObjs.length);

    KerberosToken token = new KerberosToken(kerberosTokenData, keys);
    log.info("Authorizations: "); 
    for (KerberosAuthData authData : token.getTicket().getEncData()
                                             .getUserAuthorizations()) {
        if (authData instanceof KerberosPacAuthData) {
            PacSid[] groupSIDs = ((KerberosPacAuthData) authData)
                                      .getPac().getLogonInfo().getGroupSids();
            log.info("GroupSids: " + Arrays.toString(groupSIDs));
            response.getWriter().println("Found group SIDs: " + 
                Arrays.toString(groupSIDs));
        } else {
            log.info("AuthData without PAC: " + authData.toString());
        }   
    }   
} catch (Exception ex) {
    log.error("", ex);
}

    Hab ich auch geschrieben ein neues HttpFilter (entstanden aus spnego.sf.net): spnego-pac, dass uns die LogonInfo durch die getUserPrincipal().

    Ein Beispiel-Projekt demonstriert den obigen code die in voller können hier gefunden werden:

    https://github.com/EleotleCram/jetty-spnego-demo

    Des spnego-pac-filter (im obigen Beispiel) kann hier gefunden werden:

    https://github.com/EleotleCram/spnego.sf.net-fork

    Hoffe, dies ist hilfreich für jedermann.

    __

    Marcel

    InformationsquelleAutor der Antwort eleotlecram

  3. 5

    Wenn Sie die token-Mechanismus von der spnegoToken wie diese:

    byte[] mechanismToken = spnegoToken.getMechanismToken();

    Den token-Mechanismus ist in der Regel eine KerberosApRequest. Es ist ein KerberosToken Konstruktor nimmt eine KerberosApRequest. Pass einfach in der mechanismToken byte-array zusammen mit dem Schlüssel zum entschlüsseln der Inhalte.

    InformationsquelleAutor der Antwort Grant Cermak

  4. 5

    Ich meine eigene Lösung für das problem:

    Habe ich basiert meine Lösung auf BouncyCastle-Bibliothek (für die Analyse Teile von token) und JaasLounge (für die Entschlüsselung von verschlüsselten Teil des Tokens). Leider, der code für die Dekodierung ganze spnego-token von JaasLounge nicht für meine Anforderungen. Ich hatte zu schreiben, es selbst.

    Habe ich entschlüsselt ticket-Teil für Teil, Erstens den Bau DERObjects von byte[] array:

    private DERObject[] readDERObjects(byte[] bytes) throws IOException {
    ASN1InputStream stream = new ASN1InputStream(new ByteArrayInputStream(
        bytes));
    List<DERObject> objects = new ArrayList<DERObject>();
    DERObject curObj;
    while ((curObj = stream.readObject()) != null) {
        objects.add(untag(curObj));
    }
    return objects.toArray(new DERObject[0]);
}

    Die untag() ist mein Helfer-Funktion zu entfernen DERTaggedObject Verpackung

    private DERObject untag(DERObject src) {
    if (src instanceof DERTaggedObject) {
        return ((DERTaggedObject) src).getObject();
    }
    return src;
}

    Zur Extraktion einer Sequenz der DERObject aus gegebenen DERObject ich geschrieben habe, eine weitere Hilfsfunktion:

    private DERObject[] readDERObjects(DERObject container) throws IOException {
//do operation varying from the type of container
if (container instanceof DERSequence) {
    //decode using enumerator
    List<DERObject> objects = new ArrayList<DERObject>();
    DERSequence seq = (DERSequence) container;
    Enumeration enumer = seq.getObjects();
    while (enumer.hasMoreElements()) {
    DERObject curObj = (DERObject) enumer.nextElement();
    objects.add(untag(curObj));
    }
    return objects.toArray(new DERObject[0]);
}
if (container instanceof DERApplicationSpecific) {
    DERApplicationSpecific aps = (DERApplicationSpecific) container;
    byte[] bytes = aps.getContents();
    return readDERObjects(bytes);
}
if (container instanceof DEROctetString) {
    DEROctetString octets = (DEROctetString) container;
    byte[] bytes = octets.getOctets();
    return readDERObjects(bytes);
}
throw new IllegalArgumentException("Unable to decode sequence from "+container);
}

    Am Ende, wenn ich habe DEROctetStream, dass die enthaltenen verschlüsselten Teil, ich habe gerade verwendet KerberosEncData:

    KerberosEncData encData = new KerberosEncData(decrypted, matchingKey);

    Byte-Sequenz, die wir empfangen von den client-browser werden analysiert, in einzelne DERApplicationSpecific
    die ticket-root - Ebene 0.

    Die Wurzel enthält:

    • DERObjectIdentifier - SPNEGO-OID
    • DERSequence - level 1

    Ebene 1 enthält:

    • SEQUENZ von DERObjectIdentifier - mech-Typen
    • DEROctetString - verpackt DERApplicationSepecific - level 2

    Ebene 2 enthält:

    • DERObjectIndentifier - Kerberos-OID
    • KRB5_AP_REQ tag 0x01 0x00analysiert als boolean (false)
    • DERApplicationSpecific - container DERSequence - level 3

    Ebene 3 enthält:

    • version sollte 5
    • Nachrichtentyp - 14 (AP_REQ)
    • AP-Optionen (DERBITString)
    • DERApplicationSpecific - verpackt DERSequence mit ticket-Teil
    • DERSeqeuence mit zusätzlichen ticket-Teil - nicht verarbeitet

    Ticket-Teil - Ebene 4 enthält:

    • Ticket-version - soll 5
    • Ticket-Reich - der name des Reiches, in dem der Benutzer authentifiziert ist
    • DERSequence von server-Namen. Jeder server-name ist DERSequence von 2 Streichern:
      Servernamen und Instanznamen
    • DERSequence mit verschlüsselten Teil

    Verschlüsselten Teil-Sequenz (Stufe 5) enthält:

    • Verwendeten Algorithmus, Anzahl
      • 1, 3 - DES
      • 16 - des3-cbc-sha1-kd
      • 17 - ETYPE-AES128-CTS-HMAC-SHA1-96
      • 18 - ETYPE-AES256-CTS-HMAC-SHA1-96
      • 23 - RC4-HMAC
      • 24 - RC4-HMAC-EXP
    • Key version number
    • Verschlüsselten Teil (DEROctetStream)

    War das problem mit DERBoolean Konstruktor, werfen ArrayIndexOutOfBoundException, wenn die Sequenz 0x01 0x00 gefunden wurde. Ich hatte zu ändern, dass constructor:

    public DERBoolean(
    byte[]       value)
{
//2011-01-24 llech make it byte[0] proof, sequence 01 00 is KRB5_AP_REQ
if (value.length == 0)
    this.value = 0;
else
    this.value = value[0];
}

    InformationsquelleAutor der Antwort Danubian Sailor

  5. 2

    Wow schon eine Weile, da ich habe spnego (fast ein Jahr) ... Sie Fragen, eine sehr Coole Frage.

    Habe ich ein wenig Graben und im Begriff war, zu versuchen, und führen Sie bis einige code hatte ich aus eine Weile zurück, dass war die Arbeit mit MS-AD, aber einfach nicht das Gefühl es heute :-/

    Jedenfalls fand ich diesen link über google:
    http://www.google.com/url?sa=t&source=web&cd=1&sqi=2&ved=0CBMQFjAA&url=http%3A%2F%2Fbofriis.dk%2Ffiles%2Fms_kerberos_pac.pdf&rct=j&q=java%20kerberos%20privilege%20attribute%20certificate&ei=2FASTbaLGcP38Abk07iQDg&usg=AFQjCNHcIfQRUTxkQUvLRcgOaQksCALTha&sig2=g8yn7ie1PbzSkE2Mfv41Bw&cad=rja

    Hoffentlich können Sie einige Einblicke.

    InformationsquelleAutor der Antwort Dave G

Schreibe einen Kommentar