Discussion :

[ruda.tom]

Bonjour,

j'essaie de mettre en place SPNEGO sur une application tournant sur WebLogic.
J'ai 2 problèmes :
- j'aimerais que le protocole Kerberos soit utilisé, or c'est NTLM qui est utilisé
- l'authentification fonctionne avec Tomcat (mais en NTLM) mais pas IE

Voilà ce que j'ai fait :
- J'ai créé un utilisateur dans AD : weblogicuser
- J'ai créé les SPNs associés à ce compte avec les commandes suivantes :
setspn -a host/MONSERVEUR.mondomaine weblogicuser
setspn -a HTTP/MONSERVEUR.mondomaine weblogicuser

- Je crée ensuite les keytab avec les commandes suivantes :
ktpass -princ host/weblogicuser@MONSERVEUR.MONDOMAINE -pass +mot2passe+ -mapuser weblogicuser -out D:\kerberos-conf\weblogicuser.host.keytab
ktpass -princ HTTP/weblogicuser@MONSERVEUR.MONDOMAINE -pass +mot2passe+ -mapuser weblogicuser -out D:\kerberos-conf\weblogicuser.HTTP.keytab

- J'ai testé la récupération d'un ticket avec :
kinit weblogicuser
Je récupère bien le ticket :
Password for weblogicuser@MONDOMAINE:+mot2passe+
New ticket is stored in cache file C:\Documents and Settings\user\krb5cc_user

- J'ai défini mon fichier krb5.ini et modifié le fichier de conf jaas.

J'ai paramétré Firefox en définissant les propriétés network.negotiate-auth.delegation-uris et network.negotiate-auth.trusted-uris à 'monserveur'.
Ca donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
http://194.4.224.71:7001/portal/
 
GET /portal/ HTTP/1.1
Host: 194.4.224.71:7001
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; fr; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
 
HTTP/1.1 401 Unauthorized
Connection: close
Date: Fri, 16 Jul 2010 14:20:18 GMT
Content-Length: 1518
Content-Type: text/html
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: Servlet/2.5 JSP/2.1
----------------------------------------------------------
http://194.4.224.71:7001/portal/
 
GET /portal/ HTTP/1.1
Host: 194.4.224.71:7001
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; fr; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Authorization: Negotiate TlRMTVNTUAABAAAAB7IIogYABgA3AAAADwAPACgAAAAFAs4OAAAAD0ZSUk5TR0VSQVBQUEFSVERPTVZJRQ==
 
HTTP/1.1 401 Unauthorized
Cache-Control: no-cache="set-cookie"
Connection: close
Date: Fri, 16 Jul 2010 14:20:18 GMT
Content-Length: 1518
Content-Type: text/html
WWW-Authenticate: Negotiate TlRMTVNTUAACAAAAAAAAAAAAAAABAgAAjIq0ZUWYRYE=
Set-Cookie: JSESSIONID=cMz1MQqLRXB1KgcGpGRqpFRZysLLJ3nvF8k1P5m21vJvR5DT3Hpx!-60865575; path=/
X-Powered-By: Servlet/2.5 JSP/2.1
----------------------------------------------------------
http://194.4.224.71:7001/portal/
 
GET /portal/ HTTP/1.1
Host: 194.4.224.71:7001
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; fr; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: fr,fr-fr;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAAAwADABIAAAAFgAWAFQAAAAeAB4AagAAAAAAAAC4AAAABQIAAgUCzg4AAAAPRABPAE0AVgBJAEUAdABkAGUAbABoAG8AbQBlAG4AaQBlAEYAUgBSAE4AUwBHAEUAUgBBAFAAUABQAEEAUgBUADHcDTLF8wQ4IYsDfLD17adzYTNtjVxiujHcDTLF8wQ4IYsDfLD17adzYTNtjVxiug==
Cookie: JSESSIONID=cMz1MQqLRXB1KgcGpGRqpFRZysLLJ3nvF8k1P5m21vJvR5DT3Hpx!-60865575
 
HTTP/1.1 200 OK
Cache-Control: no-cache
Date: Fri, 16 Jul 2010 14:20:24 GMT
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8
X-Powered-By: Servlet/2.5 JSP/2.1

Pour IE, j'ai coché l'option "Activer l'authentification Windows intégrée" et j'ai mis le site dans la zone Intranet.
Ca donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
GET /portal/ HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: fr
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MS-RTC LM 8)
Host: 194.4.224.71:7001
Connection: Keep-Alive
Cookie: JSESSIONID=bK8qMFRRTndtgcYHvmqR0SlYvmDbrsDvlcmpVSkbYqmnnwnmz7xp!-1662351773
 
 
HTTP/1.1 401 Unauthorized
Connection: close
Date: Tue, 20 Jul 2010 16:41:46 GMT
Content-Length: 1518
Content-Type: text/html
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: Servlet/2.5 JSP/2.1
 
GET /portal/ HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: fr
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MS-RTC LM 8)
Host: 194.4.224.71:7001
Connection: Keep-Alive
Cookie: JSESSIONID=bK8qMFRRTndtgcYHvmqR0SlYvmDbrsDvlcmpVSkbYqmnnwnmz7xp!-1662351773
Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==
 
 
HTTP/1.1 401 Unauthorized
Connection: close
Date: Tue, 20 Jul 2010 16:41:46 GMT
Content-Length: 1518
Content-Type: text/html
WWW-Authenticate: Negotiate TlRMTVNTUAACAAAAAAAAAAAAAAABAgAAEiPZY1ME9Tk=
X-Powered-By: Servlet/2.5 JSP/2.1
 
GET /portal/ HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: fr
UA-CPU: x86
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MS-RTC LM 8)
Host: 194.4.224.71:7001
Connection: Keep-Alive
Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAHQAAAAYABgAjAAAAAwADABIAAAADAAMAFQAAAAUABQAYAAAAAAAAACkAAAABQIAAgUBKAoAAAAPRABPAE0AVgBJAEUAagB1AHAAaQBlAGwARgBSAFIATgBTAFYARABJADAAMQAV66h02JDwYQgyBVnLVBysarweDWDo53VHW5L0PK5dlFJ53mREV7fKEM51FfvayGo=
Cookie: JSESSIONID=bK8qMFRRTndtgcYHvmqR0SlYvmDbrsDvlcmpVSkbYqmnnwnmz7xp!-1662351773

et après je n'ai pas de réponse

L'authentification semble bien se passer mais après plus rien.
Et pourquoi il utilise NTLM et pas Kerberos ?

Merci d'avance.

[MrPink]

Bonjour,

J'ai un problème très similaire, mais dans un environnement Linux et Oracle Application Server.

Je relance le post dès fois que...

Merci d'avance.
Julie.