Geekly articles weekly

рдУрд░реЗрдХрд▓ рд╡реЗрдмрд▓реЙрдЬрд┐рдХ рд╕рд░реНрд╡рд░ рдкрд░ рдПрдХ рдЖрд╡реЗрджрди рдХреЗ рд▓рд┐рдП рдкрд╛рд░рджрд░реНрд╢реА рдкреНрд░рд╛рдзрд┐рдХрд░рдг

рдЗрд╕ рд▓реЗрдЦ рдореЗрдВ рдореИрдВ рдЖрдкрдХреЛ рдмрддрд╛рддрд╛ рд╣реВрдБ рдХрд┐ рд╣рдо Oracle рд╡реЗрдмрд▓реЙрдЬрд┐рдХрд▓ рд╕рд░реНрд╡рд░ рдкрд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП NTLM рд╕реЗ рдХреЗрд░реНрдмрд░реЛрд╕ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдореЗрдВ рдХреИрд╕реЗ рд╕реНрд╡рд┐рдЪ рдХрд░рддреЗ рд╣реИрдВ, рдЬрд┐рд╕рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдХреЛ рд╣рдЯрд╛рдХрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рд▓реЙрдЧрд┐рди рдХреЛ рд╕рд░рд▓ рдмрдирд╛рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рд╕рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛, рд╕рд╛рде рд╣реА рдПрдкреНрд▓рд┐рдХреЗрд╢рди рд╕рд░реНрд╡рд░, рдПрдХ рд╣реА рдбреЛрдореЗрди рдореЗрдВ рд╣реИрдВ; рд╡реЗрдмрд▓реЙрдЬрд┐рдХ рд╕рд░реНрд╡рд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдбреЛрдореЗрди рдкреНрд░рд╛рдзрд┐рдХрд░рдг рднреА рдкрд╣рд▓реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рд╕рднреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди WLS 12.1.2 рдкрд░ рд╕рддреНрдпрд╛рдкрд┐рдд рдХрд┐рдП рдЧрдП рдереЗред

рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ, рдереЛрдбрд╝рд╛ рд╕рд┐рджреНрдзрд╛рдВрдд, рдмрд╛рддрдЪреАрдд рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреА рдПрдХ рдФрд░ рд╕рдордЭ рдХреЗ рд▓рд┐рдП рдмрд╣реБрдд рд╕рдВрдХреНрд╖реЗрдк рдореЗрдВред

рд╕рд┐рдВрдЧрд▓ рд╕рд╛рдЗрди-рдСрди рдХреНрдпрд╛ рд╣реИ?


рд╕рд┐рдВрдЧрд▓ рд╕рд╛рдЗрди-рдСрди (рдПрд╕рдПрд╕рдУ) рдПрдХ рдРрд╕рд╛ рддрдВрддреНрд░ рд╣реИ рдЬрд┐рд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдПрдХ рдПрдХрд▓ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХрд╛рд░реНрд░рд╡рд╛рдИ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдЙрди рд╕рднреА рдХрдВрдкреНрдпреВрдЯрд░реЛрдВ рдФрд░ рдкреНрд░рдгрд╛рд▓рд┐рдпреЛрдВ рддрдХ рдкрд╣реБрдВрдЪрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддреА рд╣реИ рдЬрд╣рд╛рдВ рдЙрд╕реЗ рдХрдИ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд┐рдП рдмрд┐рдирд╛ рдПрдХреНрд╕реЗрд╕ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рд╣реИред рдкрд╣рд▓реЗ рджрд░реНрдЬ рдХрд┐рдП рдЧрдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рдХреЛ рд╡рд┐рднрд┐рдиреНрди рдШрдЯрдХреЛрдВ рджреНрд╡рд╛рд░рд╛ рдкрд╛рд░рджрд░реНрд╢реА рд░реВрдк рд╕реЗ рдкреБрди: рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ред

рдХрд░реНрдмрд░реЛрд╕ рдХреНрдпрд╛ рд╣реИ?


рдХреЗрд░реНрдмрд░реЛрд╕ рдПрдХ рдиреЗрдЯрд╡рд░реНрдХ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╣реИ рдЬрд┐рд╕реЗ рд╕рдмрд╕реЗ рдкрд╣рд▓реЗ рдореИрд╕рд╛рдЪреБрд╕реЗрдЯреНрд╕ рдЗрдВрд╕реНрдЯреАрдЯреНрдпреВрдЯ рдСрдл рдЯреЗрдХреНрдиреЛрд▓реЙрдЬреА рджреНрд╡рд╛рд░рд╛ рд╡рд┐рдХрд╕рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред рдХреЗрд░реНрдмрд░реЛрд╕ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдПрдХ рд╕реЗрд╡рд╛ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз рдХреЛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░рдиреЗ рдХрд╛ рдПрдХ рд╕реБрд░рдХреНрд╖рд┐рдд рддрд░реАрдХрд╛ рд╣реИ рдФрд░ рдПрдХ рдЧреБрдкреНрдд рдХреБрдВрдЬреА рдХреЗ рд╕рд╛рде рдХреНрд░рд┐рдкреНрдЯреЛрдЧреНрд░рд╛рдлреА рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХреНрд▓рд╛рдЗрдВрдЯ-рд╕рд░реНрд╡рд░ рдЕрдиреБрдкреНрд░рдпреЛрдЧреЛрдВ рдХреЗ рд▓рд┐рдП рдордЬрдмреВрдд рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдкреНрд░рджрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдбрд┐рдЬрд╝рд╛рдЗрди рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

SPNEGO рдХреНрдпрд╛ рд╣реИ?


SPNEGO рдПрдХ рд╕рд░рд▓ рдФрд░ рд╕реБрд░рдХреНрд╖рд┐рдд GSSAPI рдмрд╛рддрдЪреАрдд рдЗрдВрдЬрди рд╣реИред рдпрд╣ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд▓рд┐рдП рдПрдХ рдорд╛рдирдХреАрдХреГрдд рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рд╣реИ (рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдЦреЛрдЬреЛрдВ рдХреЗ рд▓рд┐рдП рдЙрджрд╛ред JNDI), рд╡рд┐рдВрдбреЛрдЬ рдкрд░ SPNEGO рдХреЗ рд▓рд┐рдП рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдХреЗрд░реНрдмрд░реЛрд╕ (рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП JNDI рдХреЗ рд▓рд┐рдП LDAP) рд╣реИред Microsoft рд╢рдмреНрджрд╛рд╡рд▓реА SPNEGO рдХреЗ рдкрд░реНрдпрд╛рдп рдХреЗ рд░реВрдк рдореЗрдВ "рдПрдХреАрдХреГрдд Windows рдкреНрд░рдорд╛рдгреАрдХрд░рдг" рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреА рд╣реИред рд╡рд┐рдВрдбреЛрдЬ рдПрдХреАрдХреГрдд рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдореЗрдВ, рдХреЗрд░реНрдмрд░реЛрд╕ рдпрд╛ рдПрдирдЯреАрдПрд▓рдПрдо рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдкрд░ рдмрд╛рддрдЪреАрдд рдХреА рдЬрд╛ рд╕рдХрддреА рд╣реИред

рдЬрдм рдХреЛрдИ рд╕рд░реНрд╡рд░ рдЗрдВрдЯрд░рдиреЗрдЯ рдПрдХреНрд╕рдкреНрд▓реЛрд░рд░ (IE 6.1 рдпрд╛ рдЙрдЪреНрдЪрддрд░) рд╕реЗ рдЕрдиреБрд░реЛрдз рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рдЕрдиреБрд░реЛрдз рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд▓рд┐рдП SPNEGO рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗред рдпрд╣ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ HTTP рдкрд░ рдХреЗрд░реНрдмрд░реЛрд╕ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЗрдВрдЯрд░рдиреЗрдЯ рдПрдХреНрд╕рдкреНрд▓реЛрд░рд░ рдХреЛ рдкреНрд░рддреНрдпрд╛рдпреЛрдЬрд┐рдд рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЛ рд╕реМрдВрдкрдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рддрд╛рдХрд┐ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдУрд░ рд╕реЗ рд╡реЗрдм рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдмрд╛рдж рдореЗрдВ рдХреЗрд░реНрдмрд░рд╛рдЗрдЬреНрдб рд╕реЗрд╡рд╛рдУрдВ рдореЗрдВ рд▓реЙрдЧ рдЗрди рдХрд░ рд╕рдХреЗред

рдЬрдм HTTP рд╕рд░реНрд╡рд░ SPNEGO рдЪрд▓рд╛рдирд╛ рдЪрд╛рд╣рддрд╛ рд╣реИ, рддреЛ рд╡рд╣ "WWW- рдкреНрд░рд╛рдзрд┐рдХрд░рдг: рдиреЗрдЧреЛрд╢рд┐рдПрдЯ" рд╢реАрд░реНрд╖рдХ рдХреЗ рд╕рд╛рде HTTP рдЕрдиреБрд░реЛрдз рдХреЗ рд▓рд┐рдП "401 рдЕрдирдзрд┐рдХреГрдд" рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рджреЗрддрд╛ рд╣реИред рдЗрдВрдЯрд░рдиреЗрдЯ рдПрдХреНрд╕рдкреНрд▓реЛрд░рд░ рдЯрд┐рдХрдЯ рд▓реЗрдиреЗ рдХреЗ рд▓рд┐рдП рдЯрд┐рдХрдЯ рд╕реЗрд╡рд╛ (рдЯреАрдЬреАрдПрд╕) рд╕реЗ рд╕рдВрдкрд░реНрдХ рдХрд░рддрд╛ рд╣реИред рд╡рд╣ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдЯрд┐рдХрдЯ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕реЗрд╡рд╛ рдХрд╛ рд╡рд┐рд╢реЗрд╖ рдирд╛рдо рдЪреБрдирддрд╛ рд╣реИ:

HTTP/webserver@<DOMAIN NAME>

рд▓реМрдЯрд╛ рд╣реБрдЖ рдЯрд┐рдХрдЯ рдлрд┐рд░ рдПрдХ SPNEGO рдЯреЛрдХрди рдореЗрдВ рд▓рдкреЗрдЯрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬрд┐рд╕реЗ рдПрдиреНрдХреЛрдб рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдФрд░ рдПрдХ HTTP рдЕрдиреБрд░реЛрдз рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕рд░реНрд╡рд░ рдкрд░ рд╡рд╛рдкрд╕ рднреЗрдЬрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЯреЛрдХрди рдЦреБрд▓рддрд╛ рд╣реИ рдФрд░ рдЯрд┐рдХрдЯ рдкреНрд░рдорд╛рдгрд┐рдд рд╣реЛрддрд╛ рд╣реИред

рдХреЗрд░реНрдмреЛрд╕ рдХреЗ рд▓рд╛рдн


Kerberos рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдкреНрд░рд╢рд╛рд╕рдХреЛрдВ рдХреЛ NTLM рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рдмрдирд╛рддрд╛ рд╣реИ рдЬреИрд╕реЗ рд╣реА рд╕рднреА рдиреЗрдЯрд╡рд░реНрдХ рдЧреНрд░рд╛рд╣рдХ Kerberos рдХреЛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред Kerberos NTLM рдХреА рддреБрд▓рдирд╛ рдореЗрдВ рдЕрдзрд┐рдХ рд▓рдЪреАрд▓рд╛ рдФрд░ рдХреБрд╢рд▓ рд╣реИ рдФрд░ рдЕрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд┐рдд рд╣реИред

рдПрдХ рд╡реЗрдмрд▓реЙрдЧ рдЕрдиреБрдкреНрд░рдпреЛрдЧ рд╕рд░реНрд╡рд░ рд╡рд╛рддрд╛рд╡рд░рдг рдореЗрдВ рдХрд░реНрдмрд░реЛрд╕-рдЖрдзрд╛рд░рд┐рдд рдПрд╕рдПрд╕рдУ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░реЗрдВ


рд╕рд╣рднрд╛рдЧрд┐рддрд╛ рдпреЛрдЬрдирд╛:



  1. рдЬрдм рдХреЛрдИ рдкрдВрдЬреАрдХреГрдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ (PC) Oracle WebLogic Server (WLS) рд╕реЗ рд╕рдВрд╕рд╛рдзрди рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рддрд╛ рд╣реИ, рддреЛ рдпрд╣ рдореВрд▓ HTTP GET рдЕрдиреБрд░реЛрдз рднреЗрдЬрддрд╛ рд╣реИред
  2. Oracle рд╡реЗрдмрд▓реЙрдЬрд┐рдХ рд╕рд░реНрд╡рд░ (WLS) SPNEGO рдЯреЛрдХрди рдХреЛрдб рдХреЛ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рд╕рд░реНрд╡рд░ рдХреЛ рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИ рдФрд░ 401 рдПрдХреНрд╕реЗрд╕ рдЕрд╕реНрд╡реАрдХреГрдд, WWWAuthenticate: рдиреЗрдЧреЛрд╢рд┐рдПрдЯ рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдЬрд╛рд░реА рдХрд░рддрд╛ рд╣реИред
  3. рдПрдХ рдХреНрд▓рд╛рдЗрдВрдЯ (рдкреАрд╕реА рдкрд░ рдмреНрд░рд╛рдЙрдЬрд╝рд░) TGS / KDC (AD) рд╕реЗ рдПрдХ рд╕рддреНрд░ рдЯрд┐рдХрдЯ рдХрд╛ рдЕрдиреБрд░реЛрдз рдХрд░рддрд╛ рд╣реИред
  4. TGS / KDC (AD) SPNEGO рдЯреЛрдХрди рдореЗрдВ рд▓рд┐рдкрдЯреЗ рд╣реБрдП рдЧреНрд░рд╛рд╣рдХ рдХреЛ рдЖрд╡рд╢реНрдпрдХ рдХреЗрд░реНрдмрд░реЛрд╕ рдЯрд┐рдХрдЯ (рдмрд╢рд░реНрддреЗ рдХрд┐ рдЧреНрд░рд╛рд╣рдХ рдЕрдзрд┐рдХреГрдд рд╣реЛ) рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред
  5. рдХреНрд▓рд╛рдЗрдВрдЯ HTTP рд╢реАрд░реНрд╖ рд▓реЗрдЦ рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИ + рдкреНрд░рд╛рдзрд┐рдХрд░рдг SPNEGO рдЯреЛрдХрди рдХреЛ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рд╢реАрд░реНрд╖ рд▓реЗрдЦ рдореЗрдВ: Negotiate base64 (рдЯреЛрдХрди)ред
  6. рд╡реЗрдмрд▓реЙрдЧ рд╕рд░реНрд╡рд░ рдкрд░ SPNEGO рд╡реЗрдм рдкреНрд░рдорд╛рдгреАрдХрд░рдг рд╕рддреНрдпрд╛рдкрд┐рдд рдХрд░рдиреЗ рд╕реЗ SPNEGO рдЯреЛрдХрди рдХреЗ рд╕рд╛рде рдПрдХ HTTP рд╣реЗрдбрд░ рджрд┐рдЦрд╛рдИ рджреЗрддрд╛ рд╣реИред SPNEGO SPNEGO рдЯреЛрдХрди рдХреА рдЬрд╛рдБрдЪ рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИред
  7. Weblogic рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреА рдЬрд╛рдирдХрд╛рд░реА рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдпрд╣ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ Microsoft рд╕рдХреНрд░рд┐рдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ / KDC рдореЗрдВ рдорд╛рдиреНрдп рдХрд░рддрд╛ рд╣реИред рдЬрдм рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдкреВрд░реА рд╣реЛ рдЬрд╛рддреА рд╣реИ, рддреЛ рд╡реЗрдмрд▓реЙрдЧ рд╕рдВрдмрдВрдзрд┐рдд рдЬрд╛рд╡рд╛ рдХреЛрдб (рд╕рд░реНрд╡рд▓реЗрдЯреНрд╕, рдЬреЗрдПрд╕рдкреА, рдИрдЬреЗрдмреА, рдЖрджрд┐) рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рддрд╛ рд╣реИ рдФрд░ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреА рдЬрд╛рдВрдЪ рдХрд░рддрд╛ рд╣реИред
  8. Oracle WebLogic Server рдЯреЛрдХрди рд╣реИрдВрдбрд▓рд░ рд╣реИрдВрдбрд▓рд░ рдХреЛрдб GSS API рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЯреЛрдХрди рдХреЛ рд╕реНрд╡реАрдХрд╛рд░ рдФрд░ рд╕рдВрд╕рд╛рдзрд┐рдд рдХрд░рддрд╛ рд╣реИ, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЛ рдкреНрд░рдорд╛рдгрд┐рдд рдХрд░рддрд╛ рд╣реИ, рдФрд░ рдЕрдиреБрд░реЛрдзрд┐рдд URL рдХреЗ рд╕рд╛рде рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдХрд░рддрд╛ рд╣реИред

рдЕрдм рдЪрд▓рд┐рдП рдЕрднреНрдпрд╛рд╕ рдХрд░рддреЗ рд╣реИрдВ


1. рд╣рдо рдирд┐рдпрдВрддреНрд░рдХ рдХреЗ рдбреЛрдореЗрди рдХреЗ рд╕рд░реНрд╡рд░ рд╕рд╛рдЗрдб рдкрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХрд░рддреЗ рд╣реИрдВ рдЬрд┐рд╕ рдкрд░ TGS / KDC рд╕реЗрд╡рд╛рдПрдБ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХреА рдЧрдИ рд╣реИрдВред

  • рд╕рдХреНрд░рд┐рдп рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдореЗрдВ рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдмрдирд╛рдПрдБ (рдкрд╛рд╕рд╡рд░реНрдб рд╕рдорд╛рдкреНрдд рдирд╣реАрдВ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП)
  • WLS рд╕рд░реНрд╡рд░ рдирд╛рдо рдХреЗ рд▓рд┐рдП рдЙрдкрдпреБрдХреНрдд SPN рд╕реЗрдЯ рдХрд░реЗрдВ

SPN рджреНрд╡рд╛рд░рд╛ рд╕реНрдерд╛рдкрд┐рдд рд╕рддреНрдпрд╛рдкрди рдХрд░реЗрдВ

 setspn тАУl HTTP_weblogic

рджреЛ рд░рд┐рдХреЙрд░реНрдб рд▓реМрдЯрд╛рдиреЗ рдЪрд╛рд╣рд┐рдП
Keytab рдлрд╝рд╛рдЗрд▓ рдЬрдирд░реЗрдЯ рдХрд░реЗрдВ

 ktpass -princ HTTP_weblogic@mycompany.com -pass PASSWORD -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -kvno 0 -out c:\krb5.keytab

рдЗрд╕ рдлрд╛рдЗрд▓ рдХреЛ рдбрдмреНрд▓реВрдПрд▓рдПрд╕ рд╕рд░реНрд╡рд░ рдкрд░ рдХреЙрдкреА рдХрд░реЗрдВ

2. WLS рд╕рд░реНрд╡рд░ рд╕реЗрдЯрдЕрдк

  • рдЖрдкрдХреЛ% windir%: C: \ Windows рдлрд╝реЛрд▓реНрдбрд░ рдореЗрдВ krb5.ini рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред рдЗрд╕ рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЗ рд▓рд┐рдП рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рд╣реИрдВ, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдЬрд╣рд╛рдВ рдХреЗрдбреАрд╕реА рд╕реНрдерд┐рдд рд╣реИред рдлрд╝рд╛рдЗрд▓ рдЗрд╕ рддрд░рд╣ рджрд┐рдЦрд╛рдИ рджреЗрдЧреА:

 [libdefaults] default_realm = <DOMAIN NAME> ticket_lifetime = 600 [realms] <DOMAIN NAME> = { kdc = <HOSTNAME OF AD/KDC> admin_server = <HOSTNAME OF AD/KDC> default_domain = <DOMAIN NAME> } [domain_realm] . <DOMAIN NAME>= <DOMAIN NAME> [appdefaults] autologin = true forward = true forwardable = true encrypt = true

  • Krb5Login.conf рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдПрдБ:

 com.sun.security.jgss.krb5.initiate { com.sun.security.auth.module.Krb5LoginModule required principal="user@MYCOMPANY.COM" useKeyTab=true keyTab=krb5.keytab storeKey=true debug=true; }; com.sun.security.jgss.krb5.accept { com.sun.security.auth.module.Krb5LoginModule required principal="user@MYCOMPANY.COM" useKeyTab=true keyTab=krb5.keytab storeKey=true debug=true; };

рдХреГрдкрдпрд╛ рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ рдбреЛрдореЗрди рдирд╛рдо рдЕрдкрд░рдХреЗрд╕ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдПред рдкреБрд░рд╛рдиреЗ рд╕рдВрд╕реНрдХрд░рдгреЛрдВ рдХреЗ рд▓рд┐рдП, com.sun.security.jgss.in рдХрд╛ рдЙрдкрдпреЛрдЧ com.sun.security.jgss.krb5.initiate рдХреЗ рдмрдЬрд╛рдп рдкрд┐рдЫрд▓реЗ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рдХрд░реЗрдВред

  • рджреЛрдиреЛрдВ krb5Login.conf рдФрд░ krb5.keytab рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ WLS рд╕рд░реНрд╡рд░ рдбреЛрдореЗрди рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛ рдХреЗ рд░реВрдЯ рдореЗрдВ рд╕реНрдерд┐рдд рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдПред

  • SetDomainEnv рдлрд╝рд╛рдЗрд▓ рдХрд╛ рд╕рдВрдкрд╛рджрди

рд▓рд╛рдЗрди рд╕реЗрдЯ JAVA_OPTIONS =% JAVA_OPTIONS% рдЦреЛрдЬреЗрдВ рдФрд░ рдЕрдВрдд рдореЗрдВ рдЬреЛрдбрд╝реЗрдВ

 -Djava.security.auth.login.config=<  >\krb5Login.conf -Djavax.security.auth.useSubjectCredsOnly=false -Dweblogic.security.enableNegotiate=true

  • рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рд╣рдо AD рдореЗрдВ WLS рдкреНрд░рд╛рдзрд┐рдХрд░рдг рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдирд╣реАрдВ рдХрд░ рд░рд╣реЗ рд╣реИрдВ, рд╣рдорд╛рд░рд╛ рдорд╛рдирдирд╛ тАЛтАЛрд╣реИ рдХрд┐ рдпрд╣ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рдЕрдЧрд░ рдЖрдкрдХреЛ рдЗрд╕ рдЖрдЗрдЯрдо рдХреЛ рдЪрд┐рддреНрд░рд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рддреЛ рдЯрд┐рдкреНрдкрдгрд┐рдпреЛрдВ рдореЗрдВ рд▓рд┐рдЦреЗрдВред
  • WLS рдореЗрдВ SPNEGO рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛
    рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, WebLogic Server рд╡реНрдпрд╡рд╕реНрдерд╛рдкрди рдХрдВрд╕реЛрд▓ рдкрд░ рдЬрд╛рдПрдБ
    рд╕реЗрдХреНрд╢рди рд╕рд┐рдХреНрдпреЛрд░рд┐рдЯреА рд░рд┐рдпрд▓рдореНрд╕> рдорд╛рдпрд░рд┐рдпрд▓> рдкреНрд░реЛрд╡рд╛рдЗрдбрд░реНрд╕ рдкрд░ рдЬрд╛рдПрдВ рдФрд░ рдРрдб рдмрдЯрди рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ
    "WebLogic рд╡рд╛рд░реНрддрд╛ рдкрд╣рдЪрд╛рди рдкрд╣рдЪрд╛рди рдкреНрд░рджрд╛рддрд╛" рдХреЗ рдкреНрд░рдХрд╛рд░ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ
    рдЬрд╛рдВрдЪреЗрдВ рдХрд┐ рджреЛрдиреЛрдВ рдкреИрд░рд╛рдореАрдЯрд░ рдЪреБрдиреЗ рдЧрдП рд╣реИрдВред



    рд╣рдо рд░рд╛рдЙрдЯрд░ рдмрдЯрди рджрдмрд╛рддреЗ рд╣реИрдВ рдФрд░ рддреАрд░реЛрдВ рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рдХреЗ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдкреНрд░рдХрд╛рд░реЛрдВ рдХрд╛ рдХреНрд░рдо рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рддреЗ рд╣реИрдВред рдкрд╣рд▓реЗ рд╕реНрдерд╛рди рдкрд░ WebLogic Negotiate Identity Assertion рдкреНрд░рджрд╛рддрд╛ рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП рджреВрд╕рд░реЗ рд╕реНрдерд╛рди рдкрд░ рдкреНрд░рджрд╛рддрд╛ рдЬреЛ LDAP рдкреНрд░рдорд╛рдгреАрдХрд░рдг (рдбреЛрдореЗрди рдкреНрд░рд╛рдзрд┐рдХрд░рдг) рдХрд░рддрд╛ рд╣реИ


  • рд╕рд░реНрд╡рд░ рдХреЛ рд░рд┐рдмреВрдЯ рдХрд░реЗрдВ

  • рдЕрдЧрд▓рд╛, рдЖрдкрдХреЛ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХреЛ CLIENT-CERT рдкреНрд░рд╛рдзрд┐рдХрд░рдг рд╡рд┐рдзрд┐ рдмрддрд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдпреЗ рдкрд░рд┐рд╡рд░реНрддрди рдЖрд╡реЗрджрди рдХреЗ web.xml рдлрд╝рд╛рдЗрд▓ рдореЗрдВ рд▓рд╛рдЧреВ рд╣реЛрддреЗ рд╣реИрдВ

 <security-constraint> <display-name>Security Constraint for SSO </display-name> <web-resource-collection> <web-resource-name>My webapp</web-resource-name> <description>Group of Users</description> <url-pattern>/*</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> <auth-constraint> <role-name>valid-users</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>CLIENT-CERT</auth-method> </login-config> <security-role> <description>Role description</description> <role-name>valid-users</role-name> </security-role>

рднреВрдорд┐рдХрд╛ рдХреЛ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдкреВрд░реНрд╡рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ, рдПрдбреАрдПрдл (рд╡реИрдз-рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛) рдХреЗ рд▓рд┐рдП рдЕрдВрддрд░реНрдирд┐рд╣рд┐рдд рднреВрдорд┐рдХрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдФрд░ рдЖрдЧреЗ, рдбреЛрдореЗрди рд╕рдореВрд╣реЛрдВ рдХреЗ рдЖрдзрд╛рд░ рдкрд░, рдЕрдиреБрдорддрд┐ рджреА рдЬрд╛рддреА рд╣реИред

  • рдбрд┐рдмрдЧ

рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЗ рд╕рд╛рде рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдбреАрдмрдЧ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рдРрд╕рд╛ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЕрдиреБрднрд╛рдЧ рдкрд░ рдЬрд╛рдПрдВред

рдкрд░реНрдпрд╛рд╡рд░рдг -> рд╕рд░реНрд╡рд░, рд╣рдорд╛рд░реЗ рд╕рд░реНрд╡рд░ рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ -> рдбрд┐рдмрдЧ -> рд╡реЗрдмрд▓реЙрдЬрд┐рдХ (рд╡рд┐рд╕реНрддрд╛рд░) -> рд╕реБрд░рдХреНрд╖рд╛ -> atn, рдмреЙрдХреНрд╕ рдХреЛ рдЪреЗрдХ рдХрд░реЗрдВ рдФрд░ рдЗрд╕реЗ рд╕рдХреНрд╖рдо рдХрд░реЗрдВред



рдбреАрдмрдЧ рдХреЛ рд╕рдХреНрд╖рдо рдФрд░ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдПрдХ рд░рд┐рдмреВрдЯ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИред

  • рд╣рдо рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдкрд░рд┐рд╡рд░реНрддрди рд▓рд╛рдЧреВ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рд╕рд░реНрд╡рд░ рдХреЛ рд░рд┐рдмреВрдЯ рдХрд░рддреЗ рд╣реИрдВред
  • рдПрдХ рд╕рдВрд╢реЛрдзрд┐рдд рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдкрджреНрдзрддрд┐ (рдирдпрд╛ web.xml) рдХреЗ рд╕рд╛рде рдЖрд╡реЗрджрди рдХреЛ рд▓рд╛рдЧреВ рдХрд░реЗрдВ
  • рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХреАрдп рдХрдВрд╕реЛрд▓ рдХреЗ рд▓рд┐рдП рдЗрд╕ рдкреНрд░рдХрд╛рд░ рдХреЗ рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдирд┐рдореНрди рдкрд░рд┐рд╡рд░реНрддрди% OR_Home% \ wlserver \ Server \ lib \ consoleapp \ webapp \ WEB-INF \ web.xml рдХрд░реЗрдВред

    рд▓рд╛рдЗрди рдмрджрд▓реЛ

      <auth-method>CLIENT-CERT,FORM</auth-method>  <auth-method>FORM</auth-method>

рдбреЛрдореЗрди рдорд╢реАрди рдореЗрдВ рд▓реЙрдЧ рдЗрди рдХрд░реЗрдВ, рдПрдкреНрд▓рд┐рдХреЗрд╢рди рд▓рд┐рдВрдХ рдкрд░ рдХреНрд▓рд┐рдХ рдХрд░реЗрдВ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд┐рдП рдмрд┐рдирд╛ рд▓реЙрдЧ рдЗрди рдХрд░реЗрдВред рдпрд╣ рдзреНрдпрд╛рди рджреЗрдиреЗ рдпреЛрдЧреНрдп рд╣реИ рдХрд┐ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдореЗрдВ рдПрдХреНрдЬрд┐рдЯ рдмрдЯрди рдЗрд╕ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рдХрд╛рдо рдирд╣реАрдВ рдХрд░реЗрдЧрд╛ред

Source: https://habr.com/ru/post/hi414939/

More articles:


All Articles